Vidéo: Est-ce vraiment indispensable d'éjecter sa Clé USB avant de la retirer ? (Novembre 2024)
Si vous n'avez pas désactivé la lecture automatique USB sur votre PC, il est concevable que le fait de brancher un lecteur USB infecté pourrait installer un logiciel malveillant sur votre système. Les ingénieurs dont les centrifugeuses purifiant l'uranium ont été dynamitées par Stuxnet l'ont appris à leurs dépens. Cependant, il s'avère que les logiciels malveillants à lecture automatique ne sont pas le seul moyen de transformer les périphériques USB en armes. Lors de la conférence Black Hat 2014, deux chercheurs de l'entreprise basée à Berlin, SRLabs, ont révélé une technique permettant de modifier la puce de contrôleur d'un périphérique USB afin de lui permettre d'usurper divers types de périphériques afin de prendre le contrôle d'un ordinateur, d'exfiltrer des données ou d'espionner l'utilisateur. " Cela semble assez mauvais, mais en fait c'est vraiment, vraiment terrible.
Se tourner vers le côté obscur
"Nous sommes un laboratoire de piratage spécialisé dans la sécurité intégrée", a déclaré le chercheur Karsten Noll, dans une salle comble. "C’est la première fois que nous examinons la sécurité informatique avec un angle intégré. Comment l’USB pourrait-il être réutilisé de manière malveillante?"
Le chercheur Jakob Lell a sauté dans une démo. Il a branché une clé USB sur un ordinateur Windows; il s'est avéré être un lecteur, comme vous vous en doutez. Mais peu de temps après, il s'est redéfini en tant que clavier USB et a émis une commande téléchargeant un cheval de Troie à accès distant. Cela a attiré des applaudissements!
"Nous ne parlerons pas de virus dans le stockage USB", a déclaré Noll. "Notre technique fonctionne avec un disque vide. Vous pouvez même le reformater. Ce n'est pas une vulnérabilité de Windows qui pourrait être corrigée. Nous nous concentrons sur le déploiement, pas sur le cheval de Troie."
Contrôler le contrôleur
"L'USB est très populaire", a déclaré Noll. "La plupart (sinon la totalité) des périphériques USB ont une puce de contrôleur. Vous n'interagissez jamais avec la puce, ni le système d'exploitation ne la voit. Mais ce contrôleur est ce que« parle USB »."
La puce USB identifie son type de périphérique sur l'ordinateur et peut répéter ce processus à tout moment. Noll a souligné qu'il existe des raisons valables pour qu'un périphérique se présente comme tel, par exemple une webcam dotée d'un pilote pour la vidéo et d'un autre pour le microphone connecté. Et identifier réellement les lecteurs USB est difficile, car un numéro de série est optionnel et n’a pas de format fixe.
Lell a décrit les étapes précises prises par l'équipe pour reprogrammer le micrologiciel sur un type spécifique de contrôleur USB. En bref, ils devaient surveiller le processus de mise à jour du micrologiciel, procéder à un reverse engineering du micrologiciel, puis créer une version modifiée du micrologiciel contenant leur code malveillant. "Nous n'avons pas tout cassé dans l'USB", a noté Noll. "Nous avons désossé deux contrôleurs très populaires. Le premier a pris peut-être deux mois, le second un mois."
Auto-réplication
Pour la deuxième démo, Lell a inséré un lecteur USB vierge vierge dans le PC infecté dès la première démo. Le PC infecté a reprogrammé le micrologiciel du lecteur USB vierge, se reproduisant ainsi. Oh cher.
Il a ensuite connecté le lecteur nouvellement infecté à un ordinateur portable Linux, où il a visiblement émis des commandes au clavier pour charger du code malveillant. Une fois encore, la démo a été applaudie par le public.
Voler des mots de passe
"C’était un deuxième exemple de cas où une clé USB fait écho à un autre type de périphérique", a déclaré Noll, "mais ce n’est que la partie visible de l’iceberg. Pour notre prochaine démo, nous avons reprogrammé un lecteur USB 3 comme étant un type de périphérique plus difficile à détecter. Regarde bien, c'est presque impossible à voir."
En effet, je ne pouvais pas détecter le scintillement de l'icône du réseau, mais après le branchement de la clé USB, un nouveau réseau est apparu. Noll a expliqué que le lecteur émulait maintenant une connexion Ethernet, redirigeant la recherche DNS de l'ordinateur. Plus précisément, si l'utilisateur visite le site Web de PayPal, il sera automatiquement redirigé vers un site de vol de mots de passe. Hélas, les démons démons ont réclamé celui-ci; ça n'a pas marché.
Faites confiance à l'USB
"Discutons un instant de la confiance que nous accordons à l'USB", a déclaré Noll. «C’est populaire parce qu’il est facile à utiliser. Échanger des fichiers via USB est mieux que d’utiliser un courrier électronique non chiffré ou un stockage en nuage. USB a conquis le monde. Nous savons analyser un lecteur USB comme un virus. Nous faisons davantage confiance au clavier USB. Cette recherche brise cette confiance."
"Ce n'est pas juste la situation où quelqu'un vous donne une clé USB", a-t-il poursuivi. "Le simple fait de connecter l'appareil à votre ordinateur pourrait l'infecter. Pour une dernière démonstration, nous utiliserons l'attaquant USB le plus simple, un téléphone Android."
"Connectons simplement ce téléphone Android standard à l'ordinateur", a déclaré Lell, "et voyons ce qui se passe. Oh, tout à coup, il y a un périphérique réseau supplémentaire. Allons à PayPal et connectez-vous. Il n'y a pas de message d'erreur, rien. Mais nous avons capturé le nom d'utilisateur et mot de passe! " Cette fois, les applaudissements ont été tonnants.
"Détecterez-vous que le téléphone Android est devenu un périphérique Ethernet?" demanda Noll. "Votre logiciel de contrôle des appareils ou de prévention des pertes de données le détecte-t-il? Selon notre expérience, la plupart ne le font pas. Et la plupart se concentrent uniquement sur le stockage USB, pas sur d'autres types d'appareils."
Le retour du secteur de démarrage
"Le BIOS utilise un type d’énumération USB différent de celui du système d’exploitation", a déclaré Noll. "Nous pouvons en tirer parti avec un périphérique émulant deux lecteurs et un clavier. Le système d'exploitation ne verra jamais qu'un lecteur. Le second n'apparaît que dans le BIOS, qui démarrera à partir de ce lecteur s'il est configuré pour le faire. Si ce n'est pas le cas,, nous pouvons envoyer n’importe quelle frappe de touche, peut-être F12, pour permettre le démarrage à partir du périphérique."
Noll a souligné que le code du rootkit était chargé avant le système d'exploitation et qu'il pouvait infecter d'autres lecteurs USB. "C'est le déploiement idéal d'un virus", a-t-il déclaré. "Il est déjà en cours d'exécution sur l'ordinateur avant qu'un antivirus puisse être chargé. C'est le retour du virus du secteur de démarrage."
Ce qui peut être fait?
Noll a souligné qu'il serait extrêmement difficile de supprimer un virus résidant dans le micrologiciel USB. Sortez-le du lecteur flash USB, il pourrait se réinfecter à partir de votre clavier USB. Même les périphériques USB intégrés à votre PC peuvent être infectés.
"Malheureusement, il n'y a pas de solution simple. Presque toutes nos idées en matière de protection nuiraient à l'utilité de l'USB", a déclaré Noll. "Pourriez-vous ajouter des périphériques USB de confiance à la liste blanche? Eh bien, vous le pourriez si les périphériques USB étaient uniquement identifiables, mais ils ne le sont pas."
"Vous pouvez bloquer complètement l'USB, mais cela a un impact sur la facilité d'utilisation", at-il poursuivi. "Vous pouvez bloquer des types de périphériques critiques, mais même des classes très basiques peuvent être utilisées de manière abusive. Supprimez-les et il ne reste plus grand-chose. Et si vous recherchiez des programmes malveillants? Malheureusement, pour lire le firmware, vous devez vous fier aux fonctions du firmware lui-même. un firmware malicieux pourrait en usurper un légitime."
"Dans d'autres situations, les fournisseurs bloquent les mises à jour de microprogrammes malveillants à l'aide de signatures numériques", a déclaré Noll. "Mais la cryptographie sécurisée est difficile à mettre en œuvre sur de petits contrôleurs. Dans tous les cas, des milliards de périphériques existants restent vulnérables."
"La seule idée réalisable que nous ayons eue était de désactiver les mises à jour de microprogrammes en usine", a déclaré Noll. "La toute dernière étape consiste à empêcher le reprogrammation du micrologiciel. Vous pouvez même le réparer à l'aide d'un logiciel. Gravez une nouvelle mise à niveau du micrologiciel qui bloque toutes les mises à jour ultérieures. Nous pourrions conquérir un peu plus la sphère des périphériques USB de confiance."
Noll a conclu en soulignant quelques utilisations positives de la technique de modification du contrôleur décrite ici. "Il y a de bonnes chances que les gens jouent avec cela", a-t-il déclaré, "mais pas dans des environnements de confiance". Pour ma part, je ne regarderai plus jamais un périphérique USB comme avant.
