Les utilisateurs d'ordinateurs passentOn s'intéresse aux clés USB comme à des cartes de visite en silicone. Bien que nous sachions qu'elles sont souvent porteuses de logiciels malveillants, nous dépendons des analyses antivirus et des reformatages occasionnels pour empêcher nos clés USB de devenir le vecteur de la prochaine épidémie numérique. Mais les problèmes de sécurité des clés USB sont plus profonds qu'on ne le pense : leur risque ne réside pas seulement dans leur contenu, mais dans leur fonctionnement même.
C'est ce qu'il faut retenir des résultats que les chercheurs en sécurité Karsten Nohl et Jakob Lell prévoient de présenter la semaine prochaine. Ils présentent une série de logiciels malveillants de démonstration de faisabilité qui illustrent à quel point la sécurité des clés USB est depuis longtemps compromise. Le logiciel malveillant qu'ils ont créé, appelé BadUSB, peut s'installer sur une clé USB pour prendre le contrôle total d'un PC, modifier de manière invisible les fichiers installés depuis la clé USB, voire rediriger le trafic internet de l'utilisateur. BadUSB n'étant pas présent dans la mémoire flash des clés USB, mais dans le micrologiciel qui contrôle leurs fonctions de base, le code d'attaque peut rester invisible bien après que le contenu de la mémoire de la clé semble avoir été supprimé pour l'utilisateur lambda. Et les deux chercheurs affirment qu'il n'existe pas de solution miracle : le type de compromission qu'ils démontrent est quasiment impossible à contrer sans interdire le partage de clés USB ou encombrer votre port de superglue.
« Ces problèmes sont impossibles à corriger », explique Nohl, qui présentera les recherches avec Lell lors de la conférence sur la sécurité Black Hat à Las Vegas. « Nous exploitons la conception même de l'USB. »
>'Dans cette nouvelle façon de penser, il faut considérer une clé USB comme infectée et la jeter dès qu'elle touche un ordinateur non fiable.'
Nohl et Lell, chercheurs pour le cabinet de conseil en sécurité SR Labs, ne sont pas les premiers à souligner que les clés USB peuvent stocker et propager des logiciels malveillants. Mais les deux pirates ne se sont pas contentés de copier leurs propres infections codées sur mesure dans la mémoire des clés USB. Ils ont passé des mois à rétroconcevoir le micrologiciel qui gère les fonctions de communication de base des clés USB : les puces de contrôle qui permettent aux clés de communiquer avec un PC et aux utilisateurs d'y transférer des fichiers. Leur principale découverte est que le micrologiciel USB, présent sous différentes formes sur tous les périphériques USB, peut être reprogrammé pour masquer le code d'attaque. « Vous pouvez le confier à votre équipe de sécurité informatique, qui l'analysera, supprimera certains fichiers et vous le renverra en vous affirmant qu'il est "propre" », explique Nohl. Mais à moins que le responsable informatique ne possède les compétences en rétro-ingénierie nécessaires pour trouver et analyser ce micrologiciel, « le processus de nettoyage ne touche même pas les fichiers concernés. »
Le problème ne se limite pas aux clés USB. De nombreux périphériques USB, des claviers et souris aux smartphones, disposent de micrologiciels reprogrammables. Outre les clés USB, Nohl et Lell affirment avoir également testé leur attaque sur un téléphone Android branché à un PC. Une fois qu'un périphérique infecté par BadUSB est connecté à un ordinateur, Nohl et Lell décrivent un arsenal de tours maléfiques. Il peut, par exemple, remplacer un logiciel installé par une version corrompue ou dérobée. Il peut même se faire passer pour un clavier USB pour commencer à saisir des commandes de manière inattendue. « Il peut faire tout ce qu'un clavier peut faire, c'est-à-dire pratiquement tout ce qu'un ordinateur peut faire », explique Nohl.
Le logiciel malveillant peut également détourner discrètement le trafic internet, en modifiant les paramètres DNS d'un ordinateur pour le diriger vers les serveurs de son choix. Si le code est implanté sur un téléphone ou un autre appareil connecté à internet, il peut agir comme un intermédiaire, espionnant secrètement les communications transmises par la machine de la victime.
La plupart d'entre nous ont appris depuis longtemps à ne pas exécuter de fichiers exécutables à partir de clés USB douteuses. Mais les bonnes vieilles pratiques en matière d'hygiène USB ne suffisent pas à stopper ce nouveau type d'infection : même si les utilisateurs sont conscients du potentiel d'attaque, il est quasiment impossible de s'assurer que le micrologiciel de leur clé USB n'a pas été altéré. Ces appareils ne sont pas soumis à une restriction appelée « signature de code », une contre-mesure garantissant que tout nouveau code ajouté à l'appareil porte la signature cryptographique infalsifiable de son fabricant. Il n'existe même pas de micrologiciel USB fiable auquel comparer le code.
L'élément qui distingue les recherches de Nohl et Lell de la menace théorique moyenne réside dans l'idée que l'infection peut se propager d'un ordinateur à une clé USB et inversement. Chaque fois qu'une clé USB est branchée sur un ordinateur, son micrologiciel peut être reprogrammé par un logiciel malveillant présent sur ce PC, sans que le propriétaire de la clé USB puisse facilement le détecter. De même, n'importe quelle clé USB peut infecter silencieusement l'ordinateur d'un utilisateur. « C'est réciproque », explique Nohl. « Personne ne peut faire confiance à personne. »
Mais la capacité de BadUSB à se propager de manière indétectable d'un port USB à un PC et inversement soulève des questions quant à la possibilité d'utiliser des périphériques USB en toute sécurité. « Nous savons tous que si vous me donnez accès à votre port USB, je peux nuire à votre ordinateur », explique Matt Blaze, professeur d'informatique à l'Université de Pennsylvanie. « Cela semble démontrer qu'il est également possible d'agir dans l'autre sens, ce qui suggère que la menace des périphériques USB compromis constitue un problème pratique très sérieux. »
Blaze spécule que l'attaque USB pourrait en fait être déjà une pratique courante pour la NSA. Il évoque un dispositif d'espionnage connu sous le nom de Cottonmouth , révélé plus tôt cette année par les fuites d'Edward Snowden. Ce dispositif, dissimulé dans une prise USB, était présenté dans des documents internes de la NSA comme installant subrepticement des logiciels malveillants sur la machine d'une cible. Le mécanisme exact de cette attaque USB n'a pas été décrit. « Je ne serais pas surpris que certaines des choses découvertes par [Nohl et Lell] correspondent à ce que nous avons entendu dire dans le catalogue de la NSA. »
>L’alternative est de traiter les périphériques USB comme des aiguilles hypodermiques.
Nohl explique que lui et Lell ont contacté un fabricant taïwanais de périphériques USB, qu'il refuse de nommer, et l'ont averti de leurs recherches sur BadUSB. Dans une série de courriels, l'entreprise a nié à plusieurs reprises la possibilité de l'attaque. Lorsque WIRED a contacté l'USB Implementers Forum, une association à but non lucratif qui supervise la norme USB, sa porte-parole, Liz Nardozza, a répondu par communiqué. « Les consommateurs doivent toujours s'assurer que leurs appareils proviennent d'une source fiable et que seules des sources fiables interagissent avec eux », a-t-elle écrit. « Les consommateurs protègent leurs biens personnels et les mêmes efforts doivent être déployés pour se protéger eux-mêmes en matière de technologie. »
Nohl est d'accord : la solution à court terme au BadUSB n'est pas tant un correctif technique qu'un changement fondamental dans notre façon d'utiliser les appareils USB. Pour éviter l'attaque, il suffit de ne pas connecter votre périphérique USB à des ordinateurs que vous ne possédez pas ou auxquels vous n'avez pas de bonnes raisons de faire confiance, et de ne pas brancher de périphériques USB non fiables sur votre propre ordinateur. Mais Nohl admet que cela rend les disques de stockage pratiques que nous transportons tous dans nos poches, parmi tant d'autres appareils, nettement moins utiles. « Avec cette nouvelle façon de penser, on ne peut pas faire confiance à une clé USB simplement parce que son stockage ne contient pas de virus. La confiance doit venir du fait qu'aucune personne malveillante ne l'a jamais touchée », explique Nohl. « Il faut considérer une clé USB comme infectée et la jeter dès qu'elle entre en contact avec un ordinateur non fiable. Et c'est incompatible avec notre façon actuelle d'utiliser les périphériques USB. »
Les deux chercheurs n'ont pas encore décidé quelles attaques BadUSB ils publieront lors de la Black Hat, le cas échéant. Nohl craint que le micrologiciel malveillant pour clés USB ne se propage rapidement. Il insiste toutefois sur la nécessité pour les utilisateurs d'être conscients des risques. Certaines entreprises pourraient modifier leurs politiques USB, par exemple en n'utilisant que les périphériques USB d'un fabricant spécifique et en exigeant que ce dernier implémente des protections par signature de code sur leurs appareils.
La mise en œuvre de ce nouveau modèle de sécurité nécessitera d'abord de convaincre les fabricants d'appareils de la réalité de la menace. L'alternative, selon Nohl, consiste à traiter les périphériques USB comme des aiguilles hypodermiques interdites aux utilisateurs : un modèle qui sème la suspicion et va à l'encontre de leur utilité. « Vous vous souvenez peut-être avoir connecté à votre ordinateur un périphérique USB appartenant à une personne en qui vous n'aviez pas entièrement confiance », explique Nohl. « Cela signifie que vous ne pouvez plus faire confiance à votre ordinateur. Il s'agit d'une menace invisible. C'est une terrible forme de paranoïa. »
