Rechercher sur le site
Réseaux sociaux

Recevez une notification Facebook lors de nouvelles parutions d'articles sur Sécurité101 en "aimant" ma page Facebook!

Twitter

Pourquoi 101 ?

Wikipedia : Dans le vocabulaire anglo-saxon familier, une façon de désigner la base fondamentale à savoir sur un sujet donné, équivalente au "B-A-ba"

Au Québec l'utilisation du chiffre 101 pour parler de la base d'un domaine est plus répandue qu'en France.

Le chiffre vient des numéros de cours. Par exemple on commence par "Chimie 101" avant le cours suivant, "Chimie 201".

Sélectionnez la catégorie "101" pour voir mes publications d'information de base, et "201" pour des sujets plus avancés s'adressant aux professionnels de l'informatique.

Puissance Maximale

Je suis collaborateur pour l'émission Puissance Maximale sur les ondes de CJMD FM 96.9 à Lévis.

Voici comment ils se définissent:

Puissance Maximale est un collectif médiatique bénévole qui diffuse une émission de radio hebdomadaire. Nous couvrons les jeux de société, les jeux de cartes, les jeux de rôle, les jeux vidéo, les grandeurs nature et bien d'autres.

Même si la sécurité informatique n'est pas le sujet principal, ma chronique mensuelle s'adresse au même public "geek".

L'émission est très originale tant par le contenu que par le choix musical décalé. Ils n'ont pas peur de sortir des sentiers battus!

Catégories
dimanche
oct.122014

BadUSB : Quoi faire pour se protéger?

En août dernier, une nouvelle faille de sécurité des périphériques USB, réputée sans solution, a été présentée à la célèbre conférence annuelle Blackhat à Las Vegas. les chercheurs en sécurité Karsten Nohl et Jakob Lell ont refusé de rendre publique la manière avec laquelle ils avaient pu compromettre un périphérique USB en remplaçant son microgiciel (le logiciel embarqué sur la clé qui en contrôle le matériel), car ils jugeait qu'il fallait donner du temps aux constructeurs de créer de nouveaux périphériques USB non vulnérables.

Deux autres chercheurs en sécurité, Adam Caudill et Brandon Wilson, n'étaient pas d'accord avec cette décision. Ils jugeaient que l'industrie ne réagirait pas assez résolument si le code de cette vulnérabilité, nommée "BadUSB" n'était pas rendu public. Ils ont donc répliqué l'attaque avec succès à partir des informations partielles dévoilées par les découvreurs originaux, et publié le code utilisé.

Leur point de vue est légitime, car s'ils ont pu répliquer cette attaque, d'autres personnes avec des intentions moins nobles ont certainement aussi réussi ou réussiront dans le futur.

Les applications de l'attaque

Ce qu'ont découvert ces chercheurs, c'est la capacité d'altérer le comportement d'un périphérique USB (pas uniquement une clé USB mais bien n'importe quoi qui se branche via USB comme un clavier, une souris, un disque dur externe).

Il est donc possible, par exemple, de faire en sorte de voler de l'information sur la machine hôte et garder ces informations sur la clé. L'attaquant doit ensuite remettre la main sur la clé pour récupérer ces informations.

Une autre méthode consisterait à attaquer la machine hôte en utilisant une autre vulnérabilité déjà présente sur son système afin d'installer du code malicieux.

Afin d'éviter la psychose par rapport à cette nouvelle vulnérabilité, ce n'est rien de nouveau par rapport à ce qui peut déjà être fait avec un périphérique concu pour vous attaquer (par exemple, cette clé USB qui espionne votre écran et enregistre ce que vous tappez).

Cependant, il est maintenant possible de changer un périphérique auquel vous faites confiance en un vecteur d'attaque, et c'est là que c'est inquiétant.

Limitations

Cette vulnérabilité ne peut pas être utilisée à grande échelle car elle ne permet pas seule de prendre le contrôle de l'ordinateur sur lequel on branche le périphérique compromis. Il faudrait utiliser une autre vulnérabilité déjà présente sur l'ordinateur hôte pour l'infecter à son tour. On ne peut donc pas en faire un ver informatique qui se répliquerait tout seul.

L'utilisation de cette vulnérabilité risque de se limiter à l'espionnage industriel et gouvernemental, quoi qu'on peut envisager que certains vols d'indentités pourraient être facilités par BadUSB.

Aussi, certains constructeurs de périphériques USB ont créé des clés USB invulnérables à cette attaque. On peut s'attendre à ce que de plus en plus de constructeurs fassent de même au cours des prochains mois. Lors de votre prochain achat de clé USB, optez pour l'une de celles qui vous offrent cette protection.

Quoi faire ?

En tant que particulier, vous n'êtes pas en grand danger contre cette vulnérabilité à moins d'être ciblé. Il y a peu de chances qu'un périphérique compromis fasse son chemin jusque chez vous. Ne faites cependant pas confiance à une clé USB trouvée par hasard.

Lorsque vous le pouvez, utiliser le courriel pour envoyer des fichiers. Lorsque vous voulez échanger des fichiers trop volumineux, vous pouvez utiliser des logiciels de stockage dans le cloud comme Apple iCloud, Microsoft OneDrive ou Google Drive. Ces méthodes ont aussi l'avantage de faire en sorte que les fichiers soient vérifiés par un antivirus avant d'arriver jusqu'à vous.

Un périphérique USB acheté de seconde main pourrait être compromis par BadUSB, n'achetez que du neuf.

En entreprise

En entreprise, il faut certainement effectuer un rappel aux employés que les clés USB représentent une porte d'entrée pour les virus. fournissez leur des clés USB non vulnérables.

On peut aussi mettre en place une machine qui serait la seule autorisée à ce qu'on y branche une clé USB. Si cette machine démarre à partir d'un système d'exploitation comme Ubuntu sur un CD/DVD non réinscriptible, on s'assure que la machine soit quasi impossible à compromettre, et un redémarrage après chaque utilisation assure que toute modification malicieuse au système soit perdue.

Il faut aussi s'assurer que cette machine ne contienne pas d'information sensible et qu'elle ne soit pas branchée au réseau. Une ancienne machine à laquelle on aurait retiré le disque dur peut très bien faire l'affaire.

En grande entreprise, il est possible d'acheter un produit qui bloque les périphériques de stockage USB (clés ou disque durs USB) inconnus. La plupart des éditeurs de sécurité informatique ont un produit de contrôle des périphériques ("Device Control" en anglais).

Ce type de blocages peut cependant être mal reçu par certains employés et implique de leur fournir un lot de clés considérées comme fiables ou de faire un inventaire des clés autorisées.

Reader Comments (2)

Info bien décortiquée! Je comprends maintenant mieux les enjeux liés à cette nouvelle. Merci!! :)

octobre 13, 2014 | Unregistered CommenterEdith

Ça fait plaisir!

octobre 13, 2014 | Registered CommenterPierre-Luc Pelletier

PostPost a New Comment

Enter your information below to add a new comment.

My response is on my own website »
Author Email (optional):
Author URL (optional):
Post:
 
Some HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>
« Le danger de Snapchat : un faux sentiment de sécurité | Main | Le site d'Ebay hacké, 12 heures de délais avant toute réaction d'Ebay »