Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonEst-ce que votre clé USB
Dans l'épisode d'aujourd'hui des forces de l'ordre de Betteridge, voici une preuve de concept diabolique de la station d'accueil USB-C par [Lachlan Davidson] de [Aura Division]. Nous avons vu de nombreux périphériques USB malveillants, des câbles et chargeurs aux clés USB et même aux ventilateurs USB suspects. Mais un quai, cependant, est nouveau. L'essentiel est simple - vous prenez une station d'accueil, trouvez un Pi Zero W et connectez-le à un port USB 2.0 branché quelque part à l'intérieur de la station d'accueil. Trouver un Pi Zero est sans aucun doute la partie la plus difficile de cette entreprise - côté logiciel, tout est prêt pour vous, il vous suffit de flasher une carte SD avec une image malveillante pré-cuite et c'est parti !
Au niveau de la surface, cela peut ressembler à une attaque USB malveillante à l'emporte-pièce. Cependant, il y a un élément non technique à cela; Les stations d'accueil USB-C deviennent de plus en plus populaires, et avec le niveau de commodité unique qu'elles offrent, la tentation de "brancher" est beaucoup plus élevée qu'avec d'autres appareils. Par exemple, dans les espaces de travail partagés, avoir un câble USB-C avec charge et parfois même un deuxième moniteur devient la norme. Si vous utilisez USB-C au quotidien, la commodité de simplement brancher un câble USB-C sur votre ordinateur portable devient trop belle pour être laissée de côté.
Ce hack n'utilise pas exactement de fonctionnalités techniques spécifiques à l'USB-C, comme Power Delivery (PD) - il s'agit plutôt d'exploiter le facteur de commodité de l'USB-C qui vous incite à brancher un câble USB-C, amplifiant une ancienne attaque. Désormais, BadUSB avec son injection de frappe n'est plus la limite - avec une station d'accueil USB-C compatible Thunderbolt, vous pouvez y connecter un périphérique PCIe en interne et même accéder au contenu RAM d'un ordinateur portable. Bien sûr, craindre les câbles USB-C n'est pas une approche viable, alors il est peut-être temps pour nous de commencer à nous protéger des attaques BadUSB du côté logiciel.