50 pour cent des dispositifs USB dans le monde susceptibles à BadUSB

Table des matières

Seulement la moitié des dispositifs USB dans le monde ont le défaut BadUSB mais personne ne sait quelle moitié
Qu’est-ce que BadUSB
Pourquoi ne peut-il pas être détecté
Test
Le problème
Le remède

Seulement la moitié des dispositifs USB dans le monde ont le défaut BadUSB mais personne ne sait quelle moitié

SI vous avez lu notre article sur BadUSB, vous savez qu’un dispositif USB peut être affecté par ce défaut non corrigible, mais exactement quels dispositifs USB sont affectés, nous ne le savions pas. Lors de la conférence de sécurité PacSec à Tokyo mercredi, le hacker Karsten Nohl a présenté une mise à jour de ses recherches sur l’insécurité fondamentale des dispositifs USB qu’il a baptisée BadUSB.

Nohl et ses collègues chercheurs Jakob Lell et Sascha Krissler ont analysé chaque puce de contrôleur USB vendue par les huit plus grands fournisseurs de l’industrie pour voir si elles étaient affectées par le défaut BadUSB.

Les résultats : Environ la moitié des puces étaient immunisées contre l’attaque. Mais prédire quelle puce un dispositif utilise est pratiquement impossible pour le consommateur moyen. Il est donc maintenant clair que sur tous les dispositifs USB disponibles sur le marché, environ 50 % d’entre eux sont affectés par ce défaut non corrigible.

Qu’est-ce que BadUSB

Si vous avez lu l’article sur BadUSB, vous le savez déjà. Mais si vous ne l’avez pas lu, le malware appelé BadUSB reprogramme le firmware intégré pour donner aux dispositifs USB de nouvelles capacités puissantes et secrètes. Lors d’une démonstration à la conférence de sécurité Black Hat à Las Vegas, une clé USB a été infectée et a montré sa capacité à agir comme un clavier qui tape furtivement des commandes malveillantes sur les ordinateurs connectés.

Une autre clé USB a été reprogrammée pour agir comme une carte réseau qui fait que les ordinateurs connectés se connectent à des sites malveillants se faisant passer pour Google, Facebook ou d’autres destinations de confiance. La démonstration a montré que des hacks similaires pouvaient fonctionner contre des téléphones Android lorsqu’ils étaient connectés à des ordinateurs ciblés. Le malware est si puissant qu’il peut fonctionner sur presque tous les dispositifs liés à USB comme des webcams, des claviers, des smartphones, etc.

Un autre couple de chercheurs qui ont réussi à rétroconcevoir le défaut a mis en ligne le PoC sur Github afin que d’autres chercheurs en sécurité et hackers éthiques puissent trouver un moyen de corriger le défaut.

Pourquoi ne peut-il pas être détecté

Étant donné l’échelle à laquelle les dispositifs USB sont fabriqués dans le monde, il est impraticable de détecter chaque dispositif USB affecté par BadUSB.

“Ce n’est pas comme si vous branchiez [une clé USB] dans votre ordinateur et qu’il vous disait que c’est une puce Cypress, et que celle-ci est une puce Phison,” dit Nohl, en nommant deux des principaux fabricants de puces USB. “Vous ne pouvez vraiment pas vérifier autrement qu’en ouvrant le dispositif et en faisant l’analyse vous-même… L’histoire plus effrayante est que nous ne pouvons pas vous donner une liste de dispositifs sûrs.”

Test

Nohl a déclaré que son équipe de recherche avait effectué un test de masse des puces de contrôleur USB vendues par les plus grands fournisseurs de l’industrie : Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress et Microchip. Ils ont vérifié les versions de chaque puce à la fois en consultant ses spécifications publiées et en branchant un dispositif l’utilisant sur un ordinateur et en tentant de réécrire le firmware de la puce.

Les résultats étaient très imprévisibles pour Nohl et ses associés pour faire un rapport concluant. Lors des tests, Nohl et son équipe de recherche ont découvert que tous les contrôleurs de stockage USB de la société taïwanaise Phison étaient vulnérables à la reprogrammation, tandis que les puces fabriquées par ASmedia n’étaient pas affectées par BadUSB.

De même, les puces de contrôleur d’un autre grand fabricant taïwanais, Genesys, étaient beaucoup plus complexes. Les puces fabriquées par Genesys avec la norme USB 2.0 étaient immunisées contre l’attaque, mais les nouvelles utilisant la norme USB 3.0 étaient vulnérables.

Dans d’autres catégories de dispositifs comme les hubs USB, les claviers, les webcams et les souris, les résultats ont produit un tableau Excel encore plus désordonné de “vulnérable”, “sécurisé” et “inconclusif”.

Nohl a déclaré que ces découvertes avaient fait dépasser le champ de sa recherche car Nohl s’était concentré sur les dispositifs USB fabriqués par Phison, car Phison avait la plus grande part de marché.

Vous pouvez lire l’intégralité du Wiki Stub réalisé par Nohl et ses associés pour les dispositifs vulnérables ici.

Le problème

Contrairement aux ordinateurs où la marque est considérée comme nécessaire et les fabricants de PC étiquettent le nom du fabricant sur la configuration, les fabricants USB ne le font pas. Ils utilisent généralement la puce du fournisseur au prix le plus bas du marché. Cela entraîne un mélange de marques même dans la même catégorie. Par exemple, différents dispositifs USB Kingston peuvent utiliser différentes puces de différents fabricants à tout moment.

Le remède

Le résultat de Nohl a également rendu une chose claire. BadUSB n’affecte pas seulement les dispositifs de marque Phison mais presque toutes les marques de dispositifs disponibles sur le marché.

En attendant, un autre grand fabricant de USB, Imation, prend certaines précautions contre BadUSB. Désormais, le fabricant de clés USB Ironkey, propriété d’Imation, exige que toute nouvelle mise à jour du firmware de ses clés USB soit signée avec une signature cryptographique infalsifiable qui empêche la reprogrammation malveillante. Nohl a déclaré que si d’autres fabricants de USB pouvaient suivre ce modèle, la vulnérabilité pourrait disparaître avec le temps.