ECig, BadUSB et hygiène informatique

Une mauvaise habitude...
Une mauvaise habitude…

En mars dernier, au risque de passer pour un paranoïaque,  je tentais d’expliquer que des cigarettes électroniques en environnement professionnel pouvaient constituer une menace… informatique. L’été dernier, cette menace supposée, initialement déroulée par Jester, commençait à se faire un peu plus précise, ça se passait au Defcon : des chercheurs allemands de SRLabs révélaient l’existence d’une faille critique pouvant potentiellement affecter n’importe quel périphérique USB, mais en se gardant de diffuser le code d’exploitation de cette vulnérabilité, c’est ce qu’on appelle du responsible disclosure. Attention nous ne parlons pas ici d’une clé usb qui transporterait et injecterait du code malveillant ayant une chance d’être repéré par des antivirus, mais de quelque chose de bien plus vicieux, localisé dans des couches où les antivirus ne savent pas fouiller : un microcode embarqué qui permet par exemple à un périphérique USB de dire à un ordinateur « bonjour je m’appelle Vision Spinner et je me connecte à toi pour que tu me recharge »une vulnérabilité nommée BadUSB et dont vous entendrez surement vite parler permet potentiellement à votre Vision Spinner ou votre Ego de dire à votre ordinateur « bonjour je suis un clavier Logitech et je vais taper quelques commandes que tu vas interpréter et exécuter ».

Plus c’est insignifiant, plus c’est efficace

L’alerte lancée ici même dès mars dernier ne visait qu’à vous expliquer qu’en tant qu’utilisateurs de cigarettes électroniques, l’une des règles élémentaires à observer, particulièrement en environnement professionnel, était de tenir éloigné de nos ordinateurs un objet qui n’a rien à faire connecté à ces derniers. Si ce genre de menace parle forcément à des personnes un peu éveillées à la sécurité informatique, elle est très difficilement palpable par un simple utilisateur. Peu d’entre nous peuvent s’imaginer comment une cigarette électronique « dépourvue de disque dur », peut se transformer en outil d’infiltration et d’infection d’un système d’information à des fins diverses.

Now in the wild…

Comme souvent en matière de sécurité informatique, ces révélations des deux chercheurs allemands faites à l’occasion du Defcon ont eu le même effet que de pisser dans un violon, car tant qu’une vulnérabilité n’est pas dans la nature, personne ne se sent obligé d’y remédier. Seules des personnes ou organisations dotées de moyens conséquents parviennent à comprendre les mécanismes de la vulnérabilité et cette dernière se voit donc exploitée par un cercle réduit d’acteurs (souvent des services de renseignements, d’obscures officines, ou des mafias…). Et comme seuls les fabricants de périphériques USB peuvent palier cette menace, vous comprenez bien que c’est pas demain que nous serons venus à bout de cette importante menace potentielle.

Depuis quelques jours, la donne a totalement changé. Des chercheurs américains ont décidé de révéler au grand public le mécanisme de la vulnérabilité en fournissant le code d’exploitation. On passe donc au niveau d’alerte supérieur, c’est à dire du responsible disclosure, au full disclosure. L’objectif est bien ici de faire réagir les fabricants. On respire un grand coup, et on ne panique pas svp… Le code publié par les chercheurs américains n’intègre pas de mécanisme réutilisable d’infection et de propagation, il se borne à démontrer la réalité technique de la vulnérabilité. Cependant, nous savons tous que ce n’est qu’une question de jours avant que des personnes plus ou moins bien intentionnées parviennent à l’utiliser à des fins malicieuses.

Et avec ma Vision Spinner je risque quoi ?

Sans pour autant céder à une quelconque psychose, il est aujourd’hui temps pour les responsables informatiques, comme tous les salariés des entreprises et administrations publiques, de commencer à observer quelques bonnes règles d’hygiène informatique. En toute logique, nous devrions voir dans les semaines qui viennent des objets tous plus insignifiants les uns que les autres devenir de potentiels vecteurs d’attaques, capables de guider du code malveillant sur nos ordinateurs ou ceux de nos entreprises.

Si les risques potentiels sont très sérieux, il convient de mesurer de manière pragmatique l’impact que pourrait avoir sur un particulier, utilisateur de cigarette électronique. Le risque que vous soyez « espionné » est insignifiant. En revanche, le risque que votre machine soit infectée pour intégrer un réseau de machines zombies (un botnet), en vue de propager une attaque virale ou de relayer une attaque sur une cible plus importante qu’un ordinateur de particulier est lui bien réel.

Comment y remédier ?

Adoptez un comportement responsable avec tous vos périphériques USB, ne connectez jamais un objet à un ordinateur qui n’en a pas un besoin capital et dans le cadre d’une utilisation normale. Même dans le cadre d’une utilisation normal, posez vous la question : est-ce indispensable, n’y a t-il pas un autre moyen ? L’interdiction de vaper sur votre lieu de travail doit aller de paire avec l’interdiction de relier votre cigarette électronique à une machine pour la recharger, utilisez l’adaptateur mural fourni avec votre chargeur. Je le dis et je le répète, ces précautions sont à adopter avec TOUS les périphériques USB, même les plus insignifiants.

Partager cet article :

Twitter Facebook Google Plus mail

15 comments

      1. Une ego infectée c’est déjà possible mais ca serait fait en amont , coté production , la faille en question permet de « failler » un periph usb quelconque et legitime (fin faut qu il y ai au moins une eeprom et un microcontrolleur quelque part quand même )

    1. Je viens de répondre un peu plus bas 😉 Pour que ton ordi comprenne que le périphérique usb qui a été branché n’est pas un disque dur, ton ecig doit s’annoncer comme étant une ecig et lui expliquer de quoi elle a besoin, c’est à ce niveau que se situe le problème.

      1. Sauf que contrairement à une clé usb, un telephone, un clavier etc etc , le chargeur ego de base ne s’annonce pas, il fait que pomper le courant sur le bus usb , je viens de tester avec 3 chargeurs et une itaste vv3 y a rien sur le bus usb, aucun message kernel.

        On peut comparer ça à ce petit ventilo alimenté en usb => http://fr.openclassrooms.com/informatique/cours/comprendre-l-usb-et-bricoler-un-peripherique, il utilise que les pins d’alim 5V, donc y a pas d’histoire de microcontrolleur usb flashable :p

        1. Je vais poser ma question car je finis par avoir un doute …
          Un périphérique USB « déjà » produit n’est pas vulnérable a une infection?
          Par ex, mes clés usb que j’utilise depuis des années maintenant? Aucun risque qu’un jour le code de la clé soit réécrit par un malware qui la transformerait donc en cheval de troie utilisant la faille?

          On parle bien la de matériel construit POUR exploiter la faille?

          Je sais pas si je suis clair … j’espere 🙂

        2. Non c’est bien le contraire 🙂

          Du matériel pensé/produit pour être infecté ça existe déjà cf la usb rubber ducky ( http://192.64.85.110/ ) , là le soucis , c’est qu’il y a une faille exploitable ( et apparemment en plus non corrigeable ) dans les périphériques déjà existants en modifiant le firmware du microcontrolleur usb ( et en plus pas de bol, y a pas 36 fabricants de puces de ce genre ) sans que ça se voit. L’idée est qu’un virus aurait un vecteur de plus d’attaque en passant par les périphériques usb.

        3. Je peux pas répondre a ta réponse concernant ma question (plus bas) je reprends donc ici (dsl 😀 )
          Est ce que ca n’est quand meme pas un peu rassurant?
          Autant la faille badusb en elle meme n’est pas contrable, autant la réécriture du firmware d’un périphérique usb doit etre détectable, et bloquée par n’importe quel antivirus actif, non?

  1. Heureusement que j’ai pris l’habitude dentout recharger ou brancher sur une prise murale à 6 entrées.
    Je ne m’y connais pas en informatique, même si j’ai compris de quoi il retourne, mais j’ai toujours évité de brancher tout et n’importe quoi sur mes pc.
    Aurais-je u 6 ème sens ? 😉

    1. Salut, ta question est loin d’être idiote, il faut juste raisonner un peu différemment.

      Quand tu branches un périphérique usb sur un ordinateur, as tu remarqué que ton ordinateur était capable de reconnaitre la nature du périphérique et d’afficher son nom et de reconnaitre s’il s’agit d’une imprimante, d’une clé de stockage, ou de reconnaitre ta ecig pour savoir qu’il ne va pas chercher à la monter pour écrire dessus mais se cantonner à lui envoyer le courant qu’elle demande pour se recharger ?
      Si ceci est possible, c’est parce que chaque périphérique USB, pour faire ultra simple, contient un microcode qui dit à ton ordinateur « boujour je m’appelle comme ça, et je te demande de faire ça pour moi » : c’est à ce moment que ton système d’exploitation interprète le signal qui lui est envoyé et prend la décision de mener l’action demandée.

      L’attaque consiste donc à reprogrammer le comportement du chip usb que tu vas brancher sur un ordinateur. En altérant le microcode qui cause à ton ordinateur, il est possible de faire passer un objet pour un autre. Certes, l’attaque n’est pas à la portée de tout le monde, mais le code rendu public montre qu’il est possible de le faire et que ceci peut avoir des conséquences désastreuses. Par exemple, combiné à une autre vulnérabilité critique dont on parle en ce moment (Shellshok) http://www.01net.com/editorial/628226/grace-a-shellshock-des-pirates-transforment-nos-mac-en-pc-zombies/ il devient possible de transformer une Ecig en un outil d’attaque qui va injecter uen commande qui exploite cette vulnérabilité pour changer les variable d’environnement de l’interpréteur de commandes que l’on retrouve sur tous les systèmes unix (Gnu Linux/Unix représentent à eux deux bien 80% des serveurs web mondiaux).

      Il n’y a pas besoin « d’héberger des données » au sens ou tu l’entends, ici la donnée, donc la où le code malveillant est stocké, c’est juste dans l’instruction qui permet à ton ordinateur de comprendre quel type de matériel vient de se connecter sur un de ses ports. Un code malveillant efficace pèse souvent 100 fois moins lourd qu’un CV écrit sous Word 😉

      1. Merci de ta réponse claire et argumentée. Si je suis d’accord avec 99.9% de ce que tu dis et explique, il y a néanmoins un petit je ne sais quoi qui me « gène ».. là, tout de suite, je n’arrive pas a le définir de façon claire..
        Mais ton raisonnement est tout a fait valable.
        Dès que j’aurais réussi a mettre le « doigt dessus  » et de pouvoir l’exprimer de manière intelligible
        je me ferais un plaisir de t’en faire part, si toutefois tu en es d’accord.

        1. Pas de problème, ça me laissera le temps de lire un peu le code mis à disposition par les chercheurs et de tenter de comprendre plus en détail le mécanisme exact de l’attaque

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *