Les périphériques USB, portes d'entrée des logiciels malveillants ?

Par 07 juillet 2010

La Royal Military College avance que claviers et enceintes sont des canaux de récupération et de transfert de données potentiels. Cela en raison de défauts de sécurité au niveau du contrôle de l'identité des terminaux USB.

Les logiciels de sécurité qui visent à protéger les systèmes informatiques des entreprises n'effectuent pas un contrôle minutieux des périphériques USB, déplore la Royal Military College du Canada. "Le processus de plug and play qui s'enclenche de manière automatisée à l'introduction d'un périphérique se contente de vérifier l'identité de l'outil", explique à L'Atelier John Clark, l'un des chercheurs. Et d'ajouter : "sans prévoir que celle-ci puisse être usurpée par un autre outil". Pour cette équipe, ce défaut de sécurité représente un danger évident car les terminaux jugés inoffensifs peuvent embarquer des logiciels malveillants type Cheval de Troie, programmés pour exfiltrer de l'information d'une entreprise. Pour prouver l'exactitude de leurs suppositions, ces derniers ont créé un logiciel pirate embarqué dans les terminaux USB d'un clavier et de hauts parleurs d'ordinateur.
Encoder les fichiers dans un langage spécifique au canal utilisé
Ce dernier a été programmé pour analyser automatiquement le disque dur de l'ordinateur une fois les périphériques branchés. Lorsque les données sont interceptées et pour que celles-ci puissent être lues par les terminaux, elles subissent un processus d'encodage par le logiciel dans un langage spécifique au canal. Via le clavier, les données sont transformées en LED soit en message d'une taille d'1bits chaque fois qu'une touche de combinaison (Capitales, CTRL, Alt) est sélectionnée par l'utilisateur. Concernant les terminaux audio, les données sont converties en format Wav pour pouvoir ensuite être transférées vers le périphérique audio lors du lancement d'un lecteur multimédia. Et à la réception de ces fichiers, le logiciel se charge à nouveau de les décoder.
Un processus invisible
"Nous aurions pu utiliser une méthode de transfert plus simple comme le courriel électronique", explique-t-il. "Mais notre principal but était de démontrer que l'on pouvait voler des données de manière invisible". Prenant en considération ces nouveaux canaux de communication pour le piratage informatique, les chercheurs alertent sur les scénarii envisageables. Les salariés d'une entreprise dont les règles d'usages informatiques interdisent l'usage d'outils USB pourraient ainsi utiliser cette supercherie pour parvenir à exfiltrer des données d'un réseau protégé. Pour un pirate extérieur, un Cheval de Troie pourrait être introduit dans une organisation lors du remplacement des claviers d'ordinateurs ou si une personne malveillante parvient à convaincre un employé d'utiliser un outil USB contaminé.

Mentions légales © L’Atelier BNP Paribas