Qu’est-ce que Stuxnet, BadUSB, USB Killer et rubber ducky ont en commun ?
Le point commun n’est pas difficile à repérer : ce sont toutes des cyberattaques qui se déclenchent à partir de clés USB.
Le problème avec les périphériques USB (ou l’attraction qu’ils représentent, si vous êtes un cybercriminel), c’est qu’ils constituent un moyen extrêmement simple de diffuser des malwares au sein d’ordinateurs, en particulier des ordinateurs à l’importance critique, comme ceux protégés par des air gaps.
En fait, les possibilités d’action malveillante sont si nombreuses que des chercheurs israéliens ont récemment été en mesure de répertorier pas moins de 29 façons différentes permettant de compromettre quasiment tout ce à quoi des périphériques USB pouvaient être connectés.
En 2016, le Promoter Group USB 3.0 (Apple, Microsoft, Intel et autres) a annoncé sa solution sous la forme d’une spécification d’authentification USB Type-C.
Ils ont promis que ce protocole vérifierait de manière cryptographique l’identité de périphériques USB type-C tels que des lecteurs flash et des chargeurs avant d’établir une connexion de données ou d’alimentation, rendant ainsi impossible l’exploitation d’un ordinateur par des lecteurs fictifs ou malveillants.
Ainsi, les entreprises auraient le moyen d’empêcher les périphériques non autorisés d’être branchés sur leurs ordinateurs en interdisant ceux non vérifiés par le protocole.
Les consommateurs, quant à eux, seront en mesure d’utiliser les chargeurs dans les aéroports sans crainte d’attaque et auront la garantie que les chargeurs, les câbles, les stations d’accueil, les adaptateurs et les lecteurs qu’ils auront acheté, seront les produits officiels et non des faux.
En théorie, il sera également impossible aux attaquants de modifier le firmware d’un périphérique à un endroit donné dans la chaîne logistique, car cela empêcherait la vérification.
La semaine dernière, un élément important de ce processus, à savoir le programme via lequel DigiCert distribuera les certificats numériques utilisés pour vérifier les périphériques au niveau du firmware, a été confirmé par l’USB Implementers Forum (USB-IF), signifiant ainsi que l’authentification USB type-C devrait commencer à apparaître au sein de certains produits dès cette année.
Cette initiative ressemble à une mise à jour de sécurité attendue depuis longtemps, alors pourquoi certains commentateurs sont-ils encore méfiants ?
Ne cherchez pas plus loin que le paragraphe 2 du communiqué de presse de la semaine dernière :
L’authentification USB Type-C permet aux systèmes hôtes de se protéger contre les chargeurs USB non conformes et d’atténuer les risques liés aux firmwares/hardwares malveillants au niveau des périphériques USB tentant d’exploiter une connexion USB.
Remarquez l’expression “chargeurs USB non conformes”, qui a été interprétée par certains comme le début d’un système semblable au DRM liant les acheteurs à des produits de marque.
Possédez-vous un smartphone d’un fabricant X ? L’authentification USB type-C pourra éliminer les produits contrefaits, mais cela signifiera également que vous serez tenu d’acheter des câbles, des chargeurs et d’autres accessoires “approuvés” par le fabricant de cet appareil.
Il n’est pas clair si cela poserait un réel problème aux périphériques connectés à un PC Windows (par exemple, un fabricant d’ordinateurs portables obligeant les utilisateurs à acheter des clés USB de marque), car les pilotes permettant de le faire seraient contrôlés par Microsoft. Les smartphones Android pourraient offrir plus de marge de manœuvre.
Il est important de se rappeler que, contrairement aux anciennes normes USB, USB type-C est présenté comme une interface omniprésente pour presque tout ce qui n’est pas couvert par les normes sans fil telles que Bluetooth, y compris les moniteurs et les écouteurs, ainsi que le stockage.
D’autre part, l’authentification USB type-C n’est pas obligatoire, de sorte que les préoccupations concernant l’alimentation fournie par le fabricant risquent de se focaliser sur quelques types de périphériques, tels que les chargeurs, pour lesquels les contrefaçons sont devenues un problème.
Certes, les entreprises vendant des clés USB respectant les normes gouvernementales telles que FIPS-140 Niveau 1, et modèles plus récents, constitueront un nouveau niveau de sécurité appréciable. Il serait vraiment dommage que les inquiétudes suscitées par les hardwares DRM et la backdoor associée ne détériorent l’image d’une initiative présentant des avantages de sécurité aussi prometteurs.
Billet inspiré de USB-C Authentication sounds great, so why are people worried?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.