Quand les dispositifs USB deviennent une cyber-arme

Pour les systèmes de contrôle industriels, les périphériques USB sont la principale source de logiciels malveillants. Cette déclaration a été faite par Luca Bongiorni de Bentley Systems lors de sa présentation à #TheSAS2019. La plupart des personnes qui se soucient de la sécurité connaissent probablement assez d’histoires classiques sur les clés USB qui sont “accidentellement” tombées de la poche de quelqu’un dans un parking. Mais dans notre industrie, cette histoire est tout simplement trop illustrative pour ne pas être racontée encore et encore. Les gens oublient souvent que les dispositifs USB ne sont pas exclusivement limités aux clés USB. Les dispositifs d’interface humaine (HID) tels que les claviers et les souris, les câbles de chargement pour les smartphones et même des choses comme les boules de plasma et les thermo-goupilles peuvent être manipulés pour cibler les systèmes de contrôle industriels.

Un bref historique des armes USB existantes

Malgré l’oubli des gens, les dispositifs USB utilisés comme armes ne sont certainement pas nouveaux. Les premiers appareils de ce type ont déjà été enregistrés en 2010. Basés sur un petit tableau de développement appelé Teensy, équipés d’un port USB, ils pourraient faire office de HID et envoyer des données de clavier à un PC, par exemple. Les pirates ont rapidement découvert que ces appareils étaient utilisés à des fins de tests de pénétration, et ont ensuite développé une version similaire visant à créer de nouveaux utilisateurs, à exécuter des programmes fournissant des portes dérobées, ou à infecter des appareils avec des logiciels malveillants. La première version de cette modification Teensy était connue sous le nom de PHUKD. Elle a été suivie par Kautilya, une version compatible avec les cartes Arduino les plus populaires. Puis vint Rubberducky – grâce à la série Mr. Robot, peut-être l’émulateur de clavier USB le plus célèbre, qui à première vue semble être une clé USB ordinaire. Les attaques contre les distributeurs automatiques de billets utilisaient un dispositif plus puissant appelé Bash Bunny.

Il n’a pas fallu longtemps à l’inventeur du PHUKD pour trouver une nouvelle idée et développer une souris troyenisée avec un tableau de pentesting intégré qui non seulement fonctionnait comme une souris normale, mais qui avait aussi toutes les capacités du PHUKD. D’un point de vue d’ingénierie sociale, l’utilisation de véritables HID pour la pénétration du système peut être encore plus facile que l’utilisation d’une clé USB, puisque même les personnes qui ne connecteraient pas une clé USB étrangère à leur PC n’ont généralement pas de préoccupations concernant les claviers ou les souris.

La deuxième génération de dispositifs USB utilisés comme armes a été lancée en 2014 et 2015, y compris les tristement célèbres dispositifs basés sur BadUSB. Il convient également de mentionner TURNIPSCHOOL et Cottonmouth, qui auraient été développés par l’Agence de sécurité nationale américaine (NSA) : il s’agissait de dispositifs si petits qu’ils pouvaient être intégrés dans un câble USB pour intercepter les données des ordinateurs (y compris les ordinateurs sans connexion réseau).

État actuel des dispositifs USB nuisibles

La troisième génération d’outils de pillage USB porte ce problème à un tout autre niveau. L’injecteur WHID, par exemple, est un de ces outils ; il s’agit en fait d’un deuxième Rubberducky avec une connexion WLAN, qui permet aux pirates de contrôler l’outil à distance, ce qui leur donne plus de flexibilité et la possibilité de travailler avec différents systèmes d’exploitation. Un autre outil de troisième génération est P4wnP1, qui est basé sur Raspberry Pi et, à part quelques fonctionnalités supplémentaires, est très similaire à Bash Bunny.

Et bien sûr, WHID Injector et Bash Bunny sont tous deux assez petits pour être intégrés dans un clavier ou une souris. La vidéo suivante montre un ordinateur portable connecté à un clavier troyen qui permet à un attaquant distant d’exécuter des commandes et des applications arbitraires. Les petits dispositifs USB comme ceux mentionnés ci-dessus peuvent même être programmés pour agir comme un modèle HID spécifique afin de contourner les mesures de sécurité spécifiques des entreprises qui n’acceptent que les souris et les claviers de fabricants spécifiques. Des outils tels que le WHID Injector peuvent également être équipés d’un microphone pour espionner les personnes dans un établissement particulier. Pire encore, un seul de ces dispositifs suffit à mettre en danger l’ensemble du réseau s’il n’est pas correctement segmenté.

Pour protéger les systèmes contre les dispositifs USB malveillants

Les souris et les claviers piratés, ainsi que les câbles trafiqués, sont des menaces sérieuses qui peuvent même mettre en danger les systèmes à entrefer. Aujourd’hui, les outils nécessaires pour lancer ces attaques peuvent être achetés et programmés à peu de frais sans qu’il soit nécessaire de posséder des compétences de programmation sophistiquées, alors gardez ces menaces à l’esprit. Pour protéger les infrastructures critiques contre ces menaces, une approche par couches est recommandée :

  • Garantir d’abord la sécurité physique de votre entreprise, afin que le personnel non autorisé n’ait aucune chance de connecter des dispositifs USB douteux à des systèmes de contrôle industriels. De plus, bloquez les ports USB inutilisés de ces systèmes et empêchez la suppression des HID déjà installés.
  • Formez vos employés de manière appropriée pour qu’ils soient conscients des différents types de menaces, y compris les dispositifs USB utilisés comme armes.
  • Segmenter correctement les réseaux et gérer les droits d’accès pour empêcher les attaquants d’accéder aux systèmes utilisés pour contrôler les infrastructures critiques.
  • Protéger chaque système avec des solutions de sécurité qui peuvent détecter tous les types de menaces. La technologie de notre solution Kaspersky Endpoint Security n’autorise pas les HID, à moins que l’utilisateur n’entre un code spécifique via un HID déjà autorisé.