{"id":11645,"date":"2019-04-24T13:43:02","date_gmt":"2019-04-24T13:43:02","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11645"},"modified":"2019-11-22T08:52:04","modified_gmt":"2019-11-22T08:52:04","slug":"weaponized-usb-devices","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/weaponized-usb-devices\/11645\/","title":{"rendered":"Dispositifs USB infect\u00e9s et utilis\u00e9s comme vecteur d’attaque"},"content":{"rendered":"

Luca Bongiorni, de Bentley Systems, a pris la parole lors du SAS 2019 et a expliqu\u00e9 que les dispositifs USB sont la premi\u00e8re source malware pour les syst\u00e8mes de contr\u00f4les industriels. Les personnes impliqu\u00e9es d\u2019une fa\u00e7on ou d\u2019une autre en s\u00e9curit\u00e9 ont entendu beaucoup d\u2019histoires sur les cl\u00e9s USB \u00ab\u00a0accidentellement\u00a0\u00bb oubli\u00e9es dans les parkings<\/a>. Cette anecdote sur la s\u00e9curit\u00e9 est bien connue, mais comme elle illustre \u00e0 la perfection la situation, nous devions en parler.<\/p>\n

Une autre histoire (r\u00e9elle) sur les cl\u00e9s USB implique une personne qui travaillait au sein d\u2019un \u00e9tablissement industriel et voulait regarder La La Land<\/em>. Il a t\u00e9l\u00e9charg\u00e9 le film sur une cl\u00e9 USB pendant sa pause repas. C\u2019est comme cela que le syst\u00e8me prot\u00e9g\u00e9 par air gap d\u2019une centrale nucl\u00e9aire a \u00e9t\u00e9 infect\u00e9. Il s\u2019agit de la situation typique o\u00f9 une infrastructure critique est infect\u00e9e alors que cela aurait pu \u00eatre \u00e9vit\u00e9<\/a>.<\/p>\n

Les gens ont tendance \u00e0 oublier que les cl\u00e9s ne sont pas les seuls dispositifs USB. Les p\u00e9riph\u00e9riques d\u2019interface humaine (HID), comme les claviers et les souris d\u2019ordinateurs, les chargeurs de smartphones, et bien d\u2019autres appareils (boules plasma ou encore tasses isothermes) peuvent \u00eatre trafiqu\u00e9s pour s\u2019en prendre aux syst\u00e8mes de contr\u00f4les industriels.<\/p>\n

Bref historique des armes USB<\/strong><\/p>\n

M\u00eame si les gens ne s\u2019en souviennent pas, les dispositifs USB infect\u00e9s ne sont pas vraiment une nouveaut\u00e9. Les premiers dispositifs similaires ont \u00e9t\u00e9 mentionn\u00e9s pour la premi\u00e8re fois en 2010. Ils reposaient sur une petite carte programmable appel\u00e9e Teensy, \u00e9taient \u00e9quip\u00e9s d\u2019un port USB, et pouvaient agir comme les HID en envoyant, par exemple, des messages \u00e0 un ordinateur gr\u00e2ce aux frappes du clavier. Les pirates informatiques se sont vite rendu compte que ces dispositifs pouvaient \u00eatre utilis\u00e9s pour r\u00e9aliser des tests de p\u00e9n\u00e9tration. Ils ont rapidement invent\u00e9 une version programm\u00e9e pour cr\u00e9er de nouveaux utilisateurs, ont ex\u00e9cut\u00e9 des programmes qui ajoutaient des portes d\u00e9rob\u00e9es, et ont ins\u00e9r\u00e9 un malware en le copiant, ou en le t\u00e9l\u00e9chargeant \u00e0 partir d\u2019un site Internet en particulier.<\/p>\n

La premi\u00e8re version de cette modification de Teensy s\u2019appelait PHUKD<\/a>. Kautilya<\/a>, qui \u00e9tait compatible avec les cartes les plus connues Arduino, a \u00e9t\u00e9 la m\u00e9thode suivante. Puis il y a eu Rubberducky, qui a peut-\u00eatre \u00e9t\u00e9 l\u2019outil USB de simulation de frappe le plus c\u00e9l\u00e8bre gr\u00e2ce \u00e0 Mr Robot<\/em>, et ressemblait \u00e0 la majorit\u00e9 des cl\u00e9s USB. Un dispositif beaucoup plus puissant, Bash Bunny, a \u00e9t\u00e9 utilis\u00e9 pour attaquer les distributeurs automatiques<\/a>.<\/p>\n

La personne qui a invent\u00e9 PHUKD a tout de suite eu une id\u00e9e de g\u00e9nie, et a cr\u00e9\u00e9 une souris infect\u00e9e par un cheval de Troie avec une carte permettant de r\u00e9aliser un test d\u2019intrusion. En plus de fonctionner comme n\u2019importe quelle souris, celle-ci pouvait faire tout ce que PHUKD voulait. Pour un sp\u00e9cialiste en ing\u00e9nierie sociale, il pourrait \u00eatre plus facile d\u2019utiliser ces HID pour p\u00e9n\u00e9trer dans un syst\u00e8me que s\u2019il se servait de cl\u00e9s USB. Le r\u00e9sultat serait le m\u00eame puisque m\u00eame les personnes qui en savent suffisamment pour ne pas connecter n\u2019importe quelle cl\u00e9 USB \u00e0 leur ordinateur ne se m\u00e9fient g\u00e9n\u00e9ralement pas des claviers et des souris.<\/p>\n

La seconde g\u00e9n\u00e9ration de dispositifs USB infect\u00e9s a \u00e9t\u00e9 cr\u00e9\u00e9e en 2014-2015, et inclut les dispositifs tristement c\u00e9l\u00e8bres bas\u00e9s sur BadUSB. Il convient \u00e9galement de mentionner TURNIPSCHOOL et Cottonmouth, qui ont soi-disant \u00e9t\u00e9 d\u00e9velopp\u00e9s par l\u2019Agence nationale de la s\u00e9curit\u00e9 des \u00c9tats-Unis (NSA). Ces dispositifs \u00e9taient si petits qu\u2019ils pouvaient \u00eatre install\u00e9s dans un c\u00e2ble USB, puis utilis\u00e9s pour extraire les donn\u00e9es d\u2019un ordinateur, qu\u2019il soit connect\u00e9 ou non \u00e0 un r\u00e9seau. Il s\u2019agissait d\u2019un simple c\u00e2ble, donc rien de vraiment inqui\u00e9tant \u00e0 priori, n\u2019est-ce pas\u00a0?<\/p>\n

La situation actuelles des dispositifs USB infect\u00e9s<\/strong><\/p>\n

La troisi\u00e8me g\u00e9n\u00e9ration des outils USB qui permettent de r\u00e9aliser des tests d\u2019intrusion a atteint un tout autre niveau. L\u2019outil WHID Injector est l\u2019un d\u2019entre eux, et il s\u2019agit tout simplement de Rubberducky avec une connexion Wi-Fi. Comme il est connect\u00e9 en Wi-Fi, il n\u2019y a pas besoin de programmer en amont toutes les actions qu\u2019il est cens\u00e9 effectuer. Un pirate informatique peut contr\u00f4ler l\u2019outil \u00e0 distance, ce qui apporte une certaine flexibilit\u00e9, et lui permet de travailler avec diff\u00e9rents syst\u00e8mes d\u2019exploitation. P4wnP1 est un autre outil de troisi\u00e8me g\u00e9n\u00e9ration, bas\u00e9 sur Raspberry Pi, qui ressemble \u00e0 Bash Bunny avec certaines fonctions suppl\u00e9mentaires, y compris une connectivit\u00e9 sans fil.<\/p>\n

Et, bien \u00e9videmment, WHID Injector et Bash Bunny sont assez petits pour \u00eatre int\u00e9gr\u00e9s dans un clavier ou une souris d\u2019ordinateur. Cette vid\u00e9o montre comment un ordinateur portable connect\u00e9 \u00e0 un r\u00e9seau par USB, Ethernet, ou Wi-Fi peut \u00eatre contr\u00f4l\u00e9 \u00e0 distance par un pirate informatique gr\u00e2ce \u00e0 un clavier qui contient un cheval de Troie. Cette m\u00e9thode lui permet d\u2019ex\u00e9cuter des ordres et de lancer des applications.<\/p>\n

\n

pic.twitter.com\/C13mP8aBsL<\/a><\/p>\n

\u2014 Luca Bongiorni (@CyberAntani) February 14, 2018<\/a><\/p><\/blockquote>\n