Aller au contenu


Firmware hacking : USB & C°

firmware hacking micro-logiciel USB carte graphique carte-mère

  • Vous ne pouvez pas répondre à ce sujet
2 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 04 octobre 2014 - 00:43

Salut !

 

Comment vos clés USB peuvent servir de cheval de Troie à la NSA (Julien L. .. Numerama .. 03 octobre 2014)

Deux chercheurs ont révélé cet été une vulnérabilité critique dans les clés USB, lors de la convention Black Hat. Cette faille, baptisée BadUSB, pourrait être déjà utilisée par la NSA. Afin d'obliger les fabricants à prendre des mesures sans tarder, deux autres experts ont choisi d'en diffuser une version similaire sur GitHub.
BadUSB "est une nouvelle forme de logiciel malveillant qui opère à partir des puces de contrôle au sein des périphériques USB. Les clés USB par exemple peuvent être reprogrammées pour usurper d'autres types de périphériques afin de prendre le contrôle d'un ordinateur, de récupérer des données, ou d'espionner l'utilisateur".

 

Sur Infomars nous vous avons déjà alerté sur un cas particulier qui concerne les clés USB : Clé USB - modem : Vulnérabilité !

 

Mais il n'y a pas que les clés USB et la NSA. Tout ce qui comporte un firmware est "hackable" et donc utilisable par toutes sortes d'espions, y compris les français : Hacking You !  (voir surtout les chapitres D et E).

 

''Matériels pré-hackés. La mise en place dans les modems/routeurs, dans les cartes-mères d'ordinateurs, téléphones portables, autres gadgets électroniques et même les serveurs de réseau de composants déjà prêts pour l'espionnage ne relève même pas de l'imagination d'un paranoïaque ...''

 

''Des "ouvertures" parfaitement connues seraient volontairement laissées pour faciliter un "hack" ou même une destruction de matériel au moment opportun. Dans d'autres cas, un maliciel serait pré-implanté dans n'importe quel type de composant : périphériques USB (clés, disques, souris etc.), puces électroniques, caméras et webcams, imprimantes, téléphones cellulaires, cartes-mères, disques durs etc.""

 

Ce n'est pas demain que les fabricants, contraints ou complices, colmateront toutes les vulnérabilités des micro-logiciels, même celui des cartes bancaires. Ce n'est pas pour rien que la fabrication de composants "sensibles", pour les armées en particulier, a partiellement été rapatriée sur le territoire national du producteur d'appareils électroniques ''avancés''.

 

Voir aussi : Reversing Firmware (Ninj@S3c .. Infocec Institute .. 13 novembre 2013)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 08 octobre 2014 - 09:10

..

 

Le Monde Informatique s'est réveillé hier (07 octobre 2014) : Une faille de sécurité USB rendue publique (Véronique Arène)

La faille USB montrée lors de la conférence Black Hat signifie que les attaquants peuvent implanter du code sur n'importe quel type de périphériques utilisant cette technologie.

A. Caudill et B. Wilson, qui ont publié leurs correctifs lors de la conférence des hackers DerbyCon, espèrent contraindre les constructeurs à mettre à jour leurs firmwares pour contrôleurs USB afin d'éviter des modifications non autorisées. L'autre option est de désactiver la capacité de changer de firmware avant la sortie d'usine des périphériques. Cependant, même si ces modifications sont mises en oeuvre, les lecteurs USB qui sont actuellement sur le marché sont susceptibles de rester vulnérables à cette faille pendant des années, selon les experts.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 09 octobre 2014 - 06:47

..

 

Un "patch" a été publié par Caudill et Wilson. Malheureusement il n'a rien d'universel.

.. it only works for one version of USB code, the latest USB 3.0 firmware distributed by the Taiwanese firm Phison

Le patch aurait de nombreuses autres limitations. Ainsi, par exemple, lors d'un accès physique, le firmware peut encore être modifié par un processus appelé “pin shorting” qui pourrait mieux être prévenue par l'application de colle sur l'appareil. :lolbad: 

That Unpatchable USB Malware Now Has a Patch … Sort Of (Andy Greenberg .. Wired .. 07 octobre 2014)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)