Sommaire
Ça commence à faire beaucoup… Depuis ce mardi matin, la presse française reprend un article du Guardian – que la destruction des matériaux d’Edward Snowden semble avoir rendu paranoïaque. Les hackers chinois tenteraient de s’infiltrer dans les ports USB de vos machines en utilisant des cigarettes électroniques.
(Une première version de cet article a été initialement publiée sur Reflets.info par Bluetouff).
Ni une ni deux, les commerçants de e-clopes vous indiquent qu’il est indispensable de se procurer des cigarettes électroniques « de marque », vous annonçant de grands noms du secteur… et surtout de Shenzhen, capitale mondiale de la cigarette électronique low cost – que l’on trouve à moins de 10 dollars en ligne et surtout à plus de 80 euros chez nous, avec une marque d’un magasin bien français apposée dessus.
On est en plein délire, que les uns et les autres tentent de récupérer dans une rare surenchère à la bêtise.
BadUSB, c’est quoi déjà ?
Quand vous branchez un périphérique USB sur un ordinateur, vous avez sûrement remarqué que votre ordinateur était capable d’afficher son nom, de savoir s’il s’agit d’une imprimante, d’une clé de stockage ou d’une cigarette électronique. Et qu’il ne va pas chercher à « la monter » pour écrire dessus, mais va se cantonner à lui envoyer le courant qu’elle demande pour se recharger.
Si ceci est possible, c’est parce que chaque périphérique USB, pour faire ultrasimple, contient un microcode qui dit à votre ordinateur : « Bonjour, je m’appelle comme ça, et je te demande de faire ça pour moi. » C’est à ce moment que votre système d’exploitation interprète l’instruction qui lui est envoyée et prend la décision de mener l’action demandée.
L’attaque consiste donc à reprogrammer le comportement d’un composant USB que vous allez brancher sur un ordinateur. En altérant le microcode qui cause à votre ordinateur, il est possible de faire passer un objet pour un autre.
Des conséquences désastreuses
Certes, ce n’est pas à la portée de tout le monde, mais le code rendu public montre qu’il est possible de le faire et que ceci peut avoir des conséquences désastreuses.
Par exemple, combiné à une autre vulnérabilité critique dont on parle pas mal en ce moment – Shellshok –, il devient possible de transformer une cigarette électronique en un outil d’attaque qui va injecter une commande exploitant cette faille pour changer les variables d’environnement de l’interpréteur de commandes, que l’on retrouve sur tous les systèmes Unix (Gnu Linux/Unix représentent l’immense majorité des serveurs web mondiaux). Les clés USB dédiées à l’infection d’ordinateurs, c’était déjà quelque chose de connu.
BadUSB va donc bien plus loin puisque la vulnérabilité affecte de très nombreux périphériques équipés d’un contrôleur… Et devinez quoi ? Eh bien des fabricants de contrôleurs USB… il n’y en a pas 150.
Qu’importe la marque de la « vapoteuse »
Tout le monde n’est pas familier de l’industrie de la cigarette électronique. Aussi, il peut être judicieux de rappeler quelques éléments : la Chine s’est tout de suite imposée comme le premier fabricant mondial de e-cigarettes.
Une cigarette électronique, c’est une batterie avec un switch, un connecteur (dit connecteur 510) pour l’atomiseur, qui sert aussi d’interface USB pour recharger la batterie, et de temps à autres, un variateur de tension… Bref, une « vapoteuse » comme décrite dans la presse, ça ressemble à ça.
Ceci n’est pas un malware (Gurvan Kristanadjaja/Rue89)
Sauf que vous n’aurez pas manqué de noter que ce bidule ne ressemble pas franchement à une interface USB. Evidemment. puisque ce n’est pas là qu’elle se situe. L’interface en question est en fait un adaptateur USB vers connexion 510. Notre nouveau vecteur d’attaque ressemble donc plutôt à ceci, et coûte environ 1 euro.
Le malware incontrable pour 1 euro ? … Fear ! (Gurvan Kristanadjaja/Rue89)
C’est donc dans ce chargeur que se situerait un contrôleur USB vulnérable… Ouais, pourquoi pas.
Et devinez quoi ? Eh bien ce chargeur à 1 euro fonctionne aussi bien sur une cigarette électronique à 4 dollars que sur une « cigarette électronique de marque » à 80 euros. Et pour cause, ce sont les mêmes.
Que ce détail échappe à des vendeurs peu scrupuleux passe encore, mais pour le Guardian, on est quand même en droit de se demander ce qu’il s’est passé à la cafét’ de la rédac’.
L’« enquête » du très respectable Guardian
Aucun fabricant de cigarette électronique ne fabrique de contrôleur USB. En clair, que vous achetiez une Innokin à plus de 100 euros ou une bouse sur Fasttech à 4 dollars, vous encourrez le même risque, puisque ces composants sortent dans les deux cas des mêmes usines.
Vous voilà avertis : claquez directement la porte d’un vendeur qui met en avant une marque ou une autre en vous parlant de chargeur USB pour cigarette électronique, il est soit con, soit malhonnête… soit un peu des deux.
Malgré tout le respect que l’on peut légitimement porter pour cette institution qu’est le Guardian, il faut bien avouer que « l’enquête » du média anglais est – comment le dire poliment – nulle.
Et vous allez voir à quel point la presse est capable de prêter crédit au post d’un anonyme sur Reddit, au point d’oublier de faire une simple recherche pour trouver des éléments sur l’absence de concret de ce bruit qui circule depuis mars.
Toujours pas la moindre ligne de code…
Au printemps dernier, Jester publie un billet sur son blog évoquant un scénario dont on ne sait trop s’il tient de la fiction ou d’une observation réelle dont il n’a évidement pas publié le moindre « log ». Il nous gratifie d’un « screenshot » tout pourri attestant d’une connexion TCP sortant sur une IP floutée… La belle affaire.
Toujours en mars dernier, votre serviteur relaie ce billet en expliquant que non, ce n’est pas délirant, mais qu’en l’absence d’éléments concrets, il n’y a pas lieu de paniquer… Mais voilà, la menace BadUSB plane en arrière plan.
BadUSB est lâché dans la nature, la menace se précise, et je trouve pas spécialement idiot de rappeler des principes de bonne hygiène informatique expliquant en gros qu’un périphérique comme une cigarette électronique n’a de toutes façons rien à faire connectée à un ordinateur d’entreprise ou d’administration.
Un anonyme publie, il y a quelques jours, un « témoignage » sur Reddit où il prétend qu’une machine de sa société a été infectée par une cigarette électronique… Encore une fois, pas la moindre trace concrète de l’infection, pas d’information sur la nature du « malware », toujours pas la moindre ligne de code à se mettre sous les doigts… et aucun éditeur antivirus à qui on aurait fait parvenir cet étrange code supposé.
Le job d’un antivirus ? Vous foutre la trouille
Le Guardian publie son truc en sortant du chapeau LA personne la plus impartiale de la terre pour vous parler d’une menace informatique, j’ai nommé un éditeur antivirus, Trend Micro… dont le job est un peu de vous vendre des antivirus et de faire en sorte que vous ayez bien la trouille.
Les marchands de cigarettes électroniques, qui se font légèrement déboiter par des sites chinois, qui vendent des machins dont on ne sait même pas lequel est la contrefaçon de l’autre, sautent sur l’occasion pour mettre en avant leurs produits qui sortent des mêmes usines que la contrefaçon de la contrefaçon d’une copie de clone gris arc-en-ciel… et qui embarquent exactement les mêmes connectiques USB, issues du même fabricant.
La presse française relaie le danger qui plane sur tous les utilisateurs de cigarettes électroniques à bas prix, illustrant parfois même leurs articles de photos de « mods » qui sont pourtant eux mécaniques et dépourvus de tout connectique USB… logique.
Vu que ça fait neuf mois que je suis à la recherche d’un chargeur USB infecté, si vous voyez passer un vecteur d’attaque vaporeux avéré, n’hésitez pas à me le faire parvenir.