août 5th, 2014

Karsten Nohl, le chercheur qui a fait découvrir les arcanes de l’eavedroping radio et les mystères des radios logicielles en matière de hacking sans fil, s’attaque à une nouvelle forme de plateforme matérielle : les clefs USB. Non pas, à l’instar d’un virus Stuxnet, en cachant un vecteur à l’intérieur d’un code ou d’un fichier stocké dans une mémoire flash directement accessible, mais en utilisant l’espace consacré au firmware du périphérique. Ainsi, claviers, clefs de stockage et autres périphériques (convertisseurs usb/série ou parallèle et autres cousins de la horde de composants FTDI) peuvent devenir, après exploitation, de dangereux propagateurs de charges utiles.

Comment ?Il est encore trop tôt pour en connaître tous les détails, puisque cet exploit fera l’objet d’une présentation lors de la prochaine BlackHat Conference. Mais ce que nous apprend le communiqué originel, c’est que le code de démonstration (qui se fait passer pour un HID, genre clavier ou souris) est capable d’infecter un ordinateur, que ledit ordinateur infecté est capable de compromettre d’autres clefs de la même manière (le Bootkit « track 0 » des disquettes des années 80 est encore vivant). Lequel « bootkit USB » est à son tour dans la position d’injecter un autre bootkit qui s’installera, quant à lui, sur le secteur de démarrage de l’ordinateur cible.

Un mois durant, à partir du 23 juin 2014, un défaut de paramétrage laisse exposés les noms et adresses emails de 76 000 inscrits au réseau des développeurs Mozilla, ainsi que 4000 mots de passe chiffrés et « salés ». Pour l’heure, expliquent la patronne du développement Stormy Peters et le responsable de la sécurité opérationnelle Joe Stevensen, la base de données n’aurait été téléchargée que très peu de fois, en majorité par des membres répertoriés du réseau en question. Le fait que les haschs des mots de passe soient « salés » garantit leur intégrité, sauf bien entendu si ces mêmes mots de passe sont utilisés sur d’autres serveurs et services étrangers au réseau Mozilla qui, eux, pourraient ne pas avoir mis en œuvre une procédure de salage. Un changement desdits Sésames, par mesure de prudence, est donc conseillé.