BadUsb : quand votre périphérique se transforme en arme de piratage…

L’attaque de type « BadUSB » est aujourd’hui la crainte majeure des responsables des systèmes d’information (RSSI) partout dans le monde.

 

Pourquoi ?

 

Tout simplement parce que le matériel utilisé pour réaliser cette attaque peut prendre à peu près n’importe quelle forme pourvu qu’il y ait un microcontrôleur et un port USB à l’intérieur (clavier, souris, écran, cigarette électronique, ventilateur USB, clé USB, …). Cette faille n’a été découverte qu’en aout 2014 bien que le port USB ait fait son apparition sur les PC dès 1996.

 

Comment ça marche ?

 

Le port USB (Universal Serial Bus) a été conçu pour standardiser les connecteurs des périphériques des PC. Lorsqu’on branche un périphérique (webcam, dongle bluetooth, …), le microcontrôleur de celui-ci transmet un identifiant au PC qui définit sa fonction (« device class »). Le PC charge alors le driver permettant de dialoguer et d’exécuter les fonctions associées.

 

Les constructeurs des microcontrôleurs ne s’embêtent pas à développer un produit pour chaque périphérique. Ils proposent donc des microcontrôleurs standards dans lesquels on applique un programme informatique (« firmware ») dédié à chaque périphérique.

C’est justement cette universalité du port USB qui est exploitée par le BadUSB car les pirates ont trouvé le moyen de remplacer le firmware : une Webcam modifiée peut par exemple envoyer au PC un identifiant de clavier (Class 03h) et le PC va alors charger tout ce qu’il faut pour comprendre un enchainement de touches, des lignes de commande, ou un programme informatique…

 

Ça va très vite (plus de 1000 commandes / minute) et en général l’utilisateur ne s’aperçoit de rien si les pirates ont bien pensé leur affaire (masquer les fenêtres de dialogue, alterner rapidement entre la « device class » standard et la « device class » malveillante, …).

 

La situation est inquiétante puisque 50 % des microcontrôleurs utilisés sur le marché peuvent être convertis par cette méthode (d’où l’inquiétude des RSSI). De plus, les antivirus ne détectent pas ce type de menace puisque l’ordinateur « pense » dialoguer avec l’utilisateur (clavier, souris) ou avec un périphérique connecté par l’utilisateur.

 

Enfin, pour arriver au même résultat, les pirates peuvent également remplacer la carte électronique du périphérique par leur carte électronique (type Raspeberry Pi, Pi Zero, …des solutions open source, pas chères et facilement programmables) et n’utiliser que la coque du périphérique.

 

 

Comment on s’en protège ?

 

  • En utilisant des périphériques dont le firmware et la carte électronique ne peuvent pas être modifiés ;
  • En évitant de connecter des périphériques potentiellement contaminés directement sur le PC ;

 

Pour en savoir plus… contactez-nous

Comments are closed.