Good or Bad USB ?

Par Maxime de Jabrun.

Lors de la célèbre Black Hat en juillet dernier, les chercheurs Karsten Nohl et Jakon Lell étaient très attendus avec la présentation de la faille Bad USB. Les clefs USB sont déjà connues comme un vecteur important d’infection pour nos ordinateurs, mais des solutions existent afin de s’en prémunir, notamment un antivirus à jour.

Mais ce qu’ont découvert ces deux chercheurs va beaucoup plus loin !

La faille Bad USB permet d’injecter du code malveillant directement dans les firmwares des périphériques USB sans que celui ne puisse être détecté ni supprimé par l’utilisateur. En effet les antivirus ne sont actuellement  pas capables de scanner l’espace dédié au firmware d’une clé USB par exemple. De plus le formatage ne permet pas non plus de nettoyer l’espace de stockage du firmware..

Quels sont les risques ?

L’exploitation de la vulnérabilité Bad USB peut permettre à un attaquant d’exfiltrer des données ou installer un malware. Une clé USB exploitant la faille Bad USB peut être reconnue par le système d’exploitation comme un clavier, et ainsi contourner la politique de sécurité appliquée aux clés USB, exécuter des commandes avec les droits utilisateurs, modifier le DNS de la machine pour rediriger le trafic réseau vers un site malveillant contrôlé par l’attaquant ou encore infecter d’autres systèmes voire même d’autres périphériques USB. Bad USB est une faille critique dont les impacts peuvent être très importants. De plus comme ce type d’attaque n’est pas forcément visible, l’exploitation de la vulnérabilité peut durer et ainsi une quantité considérable de données peut être exfiltrées.

Il convient néanmoins de relativiser sur la probabilité d’apparition de ce type de malware, car les compétences nécessaires pour exploiter Bad USB sont très spécifiques et seule une minorité d’experts en sont capables. De plus, l’injection du code peut se faire uniquement en présence physique du périphérique USB.

Où en sont les correctifs ?

Face aux difficultés de correction de Bad USB, ces chercheurs n’ont pas souhaité publier leur démarche ni leur code source, dans l’espoir que les constructeurs se penchent sur le problème.

Cependant, face à l’attentisme des principaux constructeurs, deux autres chercheurs, Adam Caudill et Brandon Wilson, ont estimé qu’il fallait que cette faille soit rendue publique afin justement de faire agir les constructeurs.

Ils ont ainsi fait la démonstration de leurs travaux en reprogrammant le firmware d’une clef USB afin de contourner le mécanisme de protection par mot de passe et ainsi permettre à n’importe quelle suite de caractère d’être acceptée.

Il n’existe pas de correctifs pour le moment.

Comment peut-on réduire les risques ?

On ne saurait que trop vous recommander que d‘appliquer les règles suivantes :

Règle N°1 : Ne surtout jamais utiliser de périphériques USB récupérés lors de salons, de campagnes marketing ou autres sources de provenance qu’un fournisseur (ou constructeur) de confiance.

Règle N°2 : Si vous avez un doute référez-vous à la règle N°1.

Règle N°3 : Oublier toutes les règles à l’exception de la règle N°1.

Limiter l’utilisation des périphériques USB aux seuls cas où il n’y a pas d’autres possibilités permet également de réduire les risques.