-- -- -- / -- -- --
Digital Space

Les smartphones Android : armes ultimes pour exploiter la vulnérabilité de l’USB

Les smartphones Android : armes ultimes pour exploiter la vulnérabilité de l’USB

A l’occasion de la conférence Black Hat, les chercheurs en sécurité ont fait la démonstration de plusieurs scénarios d’attaques basés sur cette faille qui permet de compromettre n’importe quel périphérique USB.
évélée il y a une semaine, la faille BadUSB – qui permet de transformer n’importe quel accessoire USB en engin malveillant en reprogrammant son firmware – s’applique également aux smartphones Android. Hier, jeudi 7 août, les chercheurs en sécurité Karsten Nohl et Jakob Lell ont en effet montré aux participants de la conférence Black Hat 2014 toutes une séries de scénarios d’attaques basées sur cette étonnante vulnérabilité.

Parmi elles, l’une consistait à faire passer un téléphone Android pour une interface Ethernet lorsqu’il est branché sur un PC. Résultat : tout le trafic Internet passe alors par le smartphone, permettant à un pirate de récupérer par exemple de précieux mots de passe. Le subterfuge est difficile à détecter. Pour voir qu’il y a quelque chose qui cloche, il faut aller dans le gestionnaire réseau : on voit alors apparaître une seconde interface réseau (« Network 17 » dans le cas présent).
D’après le chercheurs, les smartphones Android constituent d’ailleurs « la plateforme d’attaque la plus simple » pour exploiter la faille BadUSB.

C’est une nouvelle particulièrement mauvaise pour les banques et les services en ligne, car cela fragilise le principe de la double authentification. En effet, un pirate qui aurait pris le contrôle d’un téléphone Android pourrait d’abord récupérer les identifiants de sa victime en le faisant passer pour une interface réseau. Puis, en le déguisant en clavier, il pourrait rentrer dans le compte, dans la mesure où il récupérera également le code de vérification. Un exemple de système à double authentification est 3D Secure, que les banques utilisent pour sécuriser les achats en ligne.

Le fait qu’un périphérique USB puisse se faire passer pour un clavier est extrêmement puissant, car cela permet d’executer presque tout et n’importe quoi sur un PC. Ainsi, les deux chercheurs ont montré, lors de leur présentation à Black Hat, un scénario dans lequel une clé USB installe un code malveillant. Branchée sur un ordinateur Linux, une clé reprogrammée se manifeste d’abord comme le support de stockage qu’il est censé être. Puis, l’icône disparait et on voit s’ouvrir pendant un court laps de temps une fenêtre avec une commande Shell : la clé vient de se transformer un clavier USB !

Commentaires
Email
Mot de passe
Prénom
Nom
Email
Mot de passe
Réinitialisez
Email