Un mini-ventilateur souffle sur les braises de BadUSB

Singapour, le 11 juin dernier, à la veille du sommet Trump-King Jong Un. Un mini-ventilateur USB glissé dans un sac de goodies destiné aux journalistes sème des soupçons d’espionnage.

Le lanceur d’alerte n’est autre que Barton Gellman, l’un de ceux à qui l’on doit les révélations d’Edward Snowden en juin 2013. Dans un tweet, il enjoint ses confrères à ne pas brancher sur leur ordinateur ce petit cadeau mais à le confier à des experts en sécurité informatique. Paranoïa ? Non, précaution élémentaire étant donné le contexte… D’autant que des précédents ont été rapportés. La Russie avait profité du G20 de 2013 pour distribuer des clés USB contenant des Chevaux de Troie. 



Remember BadUSB?

Depuis la publication de la faille BadUSB, en août 2014, on sait qu’en tout périphérique USB – quelle que soit sa classe (d’interface, comme un clavier ou une souris ; de stockage, comme une clé USB, …) – peut se nicher un malware indécelable par les antivirus classiques. Et ce n’est pas qu’il soit exempt de capacités de stockage ou de traitement, comme l’affirme Singapour, qui le lave de tout soupçon. Il suffit qu’il soit muni d’un firmware non protégé pour pouvoir être changé en mouchard…

Démontrée lors du Black Hat 2014 par Karsten Nohl, chercheur chez SRLabs, la faille BadUSB repose sur le fait que la majorité des appareils USB n’exige pas de signature pour autoriser la mise à jour de leur firmware. Celui-ci est alors reprogrammable. Son microcontrôleur modifié, le périphérique corrompu peut se faire passer pour n‘importe quel autre (clavier, disque dur externe, etc.) et prendre le contrôle de l’ordinateur, installer un virus qui se propagera aux autres périphériques USB, exfiltrer des données, espionner l’utilisateur…

En octobre 2014, Adam Caudill et Brandon Wilson, deux experts en sécurité informatique, révèlent le code permettant d’exploiter la faille sur des périphériques contenant un microcontrôleur Phison (Taïwan), d’une des marques les plus répandues au monde. Comment personnaliser le firmware de manière à le convertir en clavier, y créer une partition cachée (utile à l’exfiltration de données), ou encore modifier le mécanisme de protection par mot de passe de la clé ? Ils dévoilent tout et le publient sur Github.

Le business BadUSB  

Comme on pouvait s’y attendre, la divulgation du code d’exploitation de la faille n’a pas tardé à faire des émules. Github s’est enrichi de plus d’une centaine de répertoires sur le sujet et l’on trouve désormais pléthore de tutoriels sur Internet (Google affiche 36 500 résultats) qui, par un simple jeu de compilation et de copier-coller de lignes de code, pourraient faire de tout un chacun un apprenti sorcier.

La recette ne s’applique plus seulement au modèle Phison 2251-03, sur lequel la vulnérabilité a été initialement démontrée, mais à d’autres microcontrôleurs, comme l’ATMega32U4, très apprécié pour son prix modique et pour ses performances. Il est notamment capable de gérer deux protocoles USB simultanément sur le même port. Commode pour simuler à la fois un clavier et un écran… La modularité du dispositif BadUSB n’a pas manqué non plus d’être exploitée : viennent s’ajouter des cartes microSD pour stocker des scripts, des puces Wi-Fi pour télécharger et exécuter du code à distance…

Une véritable filière s’est mise en place, les sites d’e-commerce proposant tout le matériel nécessaire. Amazon.com affiche une trentaine de références contenant le mot clef « badusb » ou « bad usb ». Alibaba.com, une soixantaine. Ebay.com, près de 150. Combien sur les marketplaces du dark ?

BadUSB est devenu un business… qui profite grandement à la Chine, d’où proviennent la majorité des matériels listés.

Faut-il le rappeler, la plupart des objets publicitaires ou ‘goodies’ sont eux aussi ‘made in China’, incluant les appareils équipés de ports USB. Au lendemain d’Eurosatory, salon majeur de la Défense qui attire les chefs d’armée du monde entier, combien de visiteurs auront ramené, chez eux ou au bureau, une clef USB, un hub, une batterie externe, une mini-station météo… ?

Sait-on jamais…

En novembre 2014, Karsten Nohl indiquait que la faille n’affecterait que la moitié des microcontrôleurs USB diffusés sur le marché, sans pouvoir établir une liste de périphériques sûrs. Et pour cause : les fabricants ont tendance à changer de fournisseurs de composants électroniques, d’un modèle à un autre, voire pour un même produit, au gré de l’offre et de la demande.… Autrement dit, sauf à démonter un appareil pour vérifier la marque et le modèle de son firmware, impossible de s’assurer qu’il soit digne de confiance.

Si, à ce jour, aucune attaque ou intrusion exploitant la faille BadUSB n’a été rapportée comme telle, rien ne permet d’affirmer que cela ne s’est jamais produit, notamment au vu de l’économie qui a fleuri autour de cette backdoor… Tous les doutes sont permis dès lors qu’aucune trace caractéristique n’est laissée par le code. Une fois dans un ordinateur, c’est un « simple » key logger ou spoofer dont on pourra supposer qu’il aura été injecté par une autre voie, via une attaque par phishing, par exemple. 

Quelques minutes après son alerte, Barton Gellman tempère : « Peut-être que le ventilateur est juste un ventilateur. Mauvais pari, cependant. Je devrais probablement ajouter : si vous l'avez déjà branché, vous êtes juste humain. Les concepteurs de logiciels malveillants abusent de l'instinct de confiance. »


Et la presse de rappeler cette expérience qui fait cas d’école désormais. En 2016, Elie Bursztein, expert en sécurité numérique chez Google, avait abandonné dans un campus universitaire américain 297 clés USB. Il n’avait pas fallu plus de six minutes pour que la première soit branchée... Obtiendrait-on les mêmes résultats avec des brosses à dents ? Car c’est bien ainsi que la question se pose. La sécurité informatique est aussi et avant tout une question d’hygiène.