YannLBrch yann.l-brch@abc-wb.fr,, LA SECURITE, DES CLES USB ans ls précédnts articls à propos ds clés USB, il a été montré qu, grâc à qulqus règls udv t qulqus scripts savammnt écrits, il était possibl d rcopir l contnu d'un clé (mêm ffacé) t mêm l contnu du disqu dur d la victim, n jouant avc ls fichirs autorun. Tout cci sans aucun manipulation suspct d l'attaquant, simplmnt grâc à l'automatisation ds scripts t la crédulité d la victim. Dans ct articl, nous allons présntr un catégori plus récnt d'attaqus concrnant ds clés USB, qui port ctt fois-ci sur un crtain typ d clés, disponibls à prix modiqu au grand public.. Ls faits Aujourd'hui, quand vous achtz un clé USB, vous n'achtz plus sulmnt un bout d silicium capabl d transportr ds donnés. Ls clés sont d plus n plus complèts, t afin d rivalisr avc ls concurrnts, ls fabricants n cssnt d trouvr d nouvlls idés afin d fair vndr lurs produits: par xmpl, ls clés qui savnt lir ls MP3/WMA, clls avc un diod blanch qui srt d lamptorch ou ncor clls qu l'on put protégr par mot d pass. Crtains d'ntr lls proposnt égalmnt ds logicils gratuits prmttant d gérr ls imags ou la musiqu. Tous cs outils suivnt bin la tndanc actull dans l mond d l'informatiqu grand public qui vut qu tout fonctionn sul, t c, l plus simplmnt possibl (t parfois au détrimnt d la sécurité, comm nous l'avons déjà vu t qu nous allons ncor l voir). Afin d comblr l confort qu l'utilisatur réclam, il st d plus n plus courant d voir disparaîtr ls CD d pilots fournis avc ls clés USB. En fft, la plupart du tmps, ls pilots sont intégrés à Windows, c qui justifi réllmnt l'utilité du famux Plug & Play (sauf pour ls systèms ls plus ancins comm Windows 98). Mais ls logicils nécssairs au fonctionnmnt ds différnts srvics proposés n sont pas forcémnt intégrés au systèm d'xploitation. Il faut donc arrivr à ls stockr qulqu part. Un solution plausibl: Intrnt. Mais, l'utilisatur moyn n s vrra pas allr sur Intrnt afin d trouvr puis téléchargr ls logicils d sa clé USB. Non, il fallait autr chos qui prmtt à l'utilisatur d'avoir l CD d pilots, mais sans avoir à l transportr...
Et c'st là qu nos constructurs ont u un idé d géni:... En branchant intégrr l CD à la clé! La solution adopté st donc d fair autorun.inf, installr matiqumnt, un lctur CD virtul n mêm tmps qu la clé d stockag, qui propos à l'utilisatur ls outils dont il a bsoin. Évidmmnt, l princip du lctur CD virtul a trois avantags: la clé dans son ordinatur, l pilot put démarrr t grâc au fichir son installation évitant ainsi à l'utilisatur auto- d'avoir à l fair à la main. L'idé smblait êtr bonn, mais ls fabricants ont, sans l... Pas bsoin d s'ncombrr d'un CD : tout st déjà dans la clé ; vouloir, mis à disposition ds pirats un xcllnt moyn d pro-... L'utilisatur n risqu pas d'ffacr l CD, t donc d prdr pagr ds virus ou ds moyns d vols d donnés. accidntllmnt ls pilots; Ls xplications 2. Ptit tour d'horizon sous Windows 2. rn Pop ky (G:) (.) Prnons par xmpl un clé d marqu Mmup Pop Ky [], ls clés avc l bouchon rétractabl. Cs clés, qu l'on trouv n hyprmarché à Précédnt Agrss o-:-or:. _,:: r.:::..:r partir d 5 C, proposnt à l'utilisatur dition I@ AfFichag Fayoris.t p l Dossirs G:\ 8 il OK Autorun.inf Informations: d configuration Ka DE_Mmory bar Adob Acrobat 7.0 Documnt 79 Ka EN Mmory bar mnut.pdl Adob Acrcbt 7,0 Documnt 230Ko ES_Mmory bar manual.pdf Adob Acrobt 7,0 Documnt 243 Ka FR Mmory bar mnol. pdf Adob Acrobat 7,0 Documnt 74 Ko IT _Mmory bar Adob Acrobat 7.0 Documnt 240 Ko d crér un parti d la clé publiqu (accssibl dès l'insrtion «privé» d la clé) t un autr parti d la clé (accssibl uniqumnt après avoir ntré un mot d 4i) pass). L logicil capabl d configurr la clé t gérr l'accès à la parti privé s trouv dans un lctur CD virtul : Mmup.ico 4.8 x 4.8 Icôn PT_Mmory bar manualpdf Adob Acrobt 7.0 Documnt 24 Ko Eic:hir dition > Afficttag Fa:tOl'is... P Qutis l. @ Disqu local (C:) '-- 4i) Figur Lctur DVD-RAM (D:) Figur lct DVD (F:) " Disqus Contnu du lctur CD d la clé. à prmièr vu sous Windows. Passons à Linux.! d la clé, tls qu'ils apparaissnt défaut pal' 2.2 La lttr G contint ici l lctur CD virtul d la clé, t la parti stockag d la clé st accssibl [Autorun] icon=mmup.ico l abl =Pop ky Rin d'intérssant QPlhic(H:) objt(s) 2 : il OK Popky(G:) à la lttr H. Si nous rgardons l contnu du lctur CD, nous y trouvons l manul n PDF t n plusiurs langus, t l ptit programm capabl d donnr accès à la parti privé d la clé (voir Figur 2). Analys sous Linux L systèm un distribution avc lqul cs tsts à bas d noyau Linux sr qu la sul nécssité «Law Prformanc st d'utilisr USB Block drivr» «USB Mass Storag support» (ldv/sd*), tionn pas avc ls manipulations Enfin, ls propriétés apprnnnt du lctur CD n qustion rin d très intérssant, sulmnt systèm d fichirs CDFS, t qu'il utilis fichir Autorun.inf Dossirs -.;:---Data (E:) Il,95 Mo 2,0 2.6.8. st Il faut préci- l modul du noyau (ldv/ub*) t non l car c drnir n fonc- décrits ci-après. n nous qu c'st un Mo d plac. L st configuré d sort à donnr au CD l'icôn Mmup t l nom «Pop ky» (t ça fonctionn bin). ont été réalisés Branchons la clé. Notr chr ami udv nous a créé qulqus fichirs pour l'occasion: l s /dv/ub* /dv/uba /dv/ubb /dv/ubbl.... -.......
Nous avons donc copié l contnu du CD sur l disqu dur. Essayons maintnant d fair l'invrs: Lpériphériqu ubb smbl contnir ls informations d la clé (à caus d la partition ubbl), tandis qu uba smbl contnir l lc- tur CD.Vérifions-ln l montant dans un réprtoir tmporair: mount /dv/uba l s /mntltmp Autorun.inf OUmory\ EN\ flmory\ ESjlmory\ FR\ Mmory\ dd if=/rootlpopky.iso 264+0 rcords 264+0 rcords /mntltmp IUlmory\ Mmorybar.x Mmup.ico PT_Mmory\ Tins donc! Il smblrait qu ça n'a dérangé prsonn... En fft, si on rbranch la clé sous Windows, l contnu d la clé st toujours accssibl. Tstons à présnt autr chos: nous allons crér un nouvll ISO contnant un simpl fichir txt, t l'écrir dans la clé : Après avoir démonté l réprtoir, nous allons fair qulqus tsts sur la clé, avc l'outil dd : dd if=/dv/uba of=/rootlpopky. in out 264+0 rcords 264+0 rcords mkdir macl cho "Bonjour" > macl/tst.txt mkisofs -0 /tmp/tstcl.iso macl dd if=/tmp/tstcl.iso of=/dv/uba 700+0 rcords in 700+0 rcords out i so Ctt command nous a prmis d récupérr l contnu complt t xact, octt par octt, du périphériqu /dv/uba. Nous nous rtrouvons donc avc un fichir popky.iso faisant nviron 5,5 Mo (264*52 octts), contnant l'iso d la clé. Nous l vérifions simplmnt n montant l fichir n loopback : mount /rootlpopky.iso l s /mntltmp Autorun. i nf OUlmory\ EN\ flmory\ ESlmory\ FR\ Mmory\ /mntltmp -0 loop dition Précédnt Agrss I"lj Fayoris t...t P CDROM (G:) ij Disqu local (C:) -.8 lctur DVD-RAM(D:) objt(s) Précédnt...--------. lctur DVD(F:) = Afficb.ag -. G:\ = TEST.TXT Documnt [8 _,!;.dition Mrss CDROM(G:) o Dossirs -,;.;;--- Data(E:) Eh oui, sous vos yux ébahis, nous vnons bl t bin d modifir la structur du lctur CD virtul d notr clé USB. ;t Affichag () Sans surpris, l'écritur smbl avoir réussi ici aussi. Maintnant, rtournons sous Windows, t obsrvons c qu'il n st sur ls figurs 3 t 4. IT_Mmory\ l'imoryba r. x Mmup.ico PUlmory\ of=/dv/uba in out t Faoris...t f txt Ko Pubtic(H:) ; d Il objt(s) la octts :j Figurs 3 t 4 : Disqus d la clé t contnu du lctur CD. après modification. 3. Ls possibilités L fait d pouvoir modifir l'imag du lctur CD d notr clé pourrait smblr assz pu util, voir passr pour un d cs «trucs d gk» aux yux du grand public. Et pourtant, un gros problèm s pos n réalité: l fichir autorun.inf, contnu dans c CD, st modifiabl, donc la possibilité d fair xécutr un fichir d notr choix à chaqu insrtion d la clé st possibl.
Pour information, l contnu maximal d la clé put êtr facilmnt vérifiabl, n rmplissant la clé : 3. La pruv n imags Afin d prouvr qu cs modifications sont réalisabls, nous allons ajoutr qulqus élémnts à notr fichir ISO: un fichir icôn, un xécutabl (par xmpl la calculatric Windows) t un fichir autorun.inf qu voici: [autorun] opn=calc.x i con=i coky, i co Après un ptit coup d mkisofs t d dd, nous rpartons sur notr Windows où, après insrtion d la clé, nous nous rtrouvons fac à... la calculatric Windows. L'icôn du lctur CD dans l post d travail a égalmnt changé : Précédnt Agrss Q ç 7 Affichag dition Fayoris Li p il Il Disqu local (C:) -8 lctur DVO-RAM (0:) Lctur DVO (F:)... VMEMUP(G:) Dossirs Data (E:) objt(s) OK dd if=/dv/zro of=/dv/uba dd: writing /dv/uba: No spac lft 265+0 rcords i n 264+0 rcords out on dvic La quantité maximum d plac disponibl st donc d 5,5 Mo, qui n'st finalmnt rin d'autr qu la taill du fichir popky.iso qu nous avons récupéré au début d l'articl. C'st largmnt suffisant pour y mttr tout un panopli d'outils dangrux pour la santé d'un ntrpris. Et ls méthods pour dissimulr ds fichirs xécutabls sont nombruss: noms d fichirs barbars ou connus (UsrMgr32.x, ToolBar.x, AdobRadr70fr.x... ), fichirs cachés ou systèm, utilisation d l'xtnsion pif (UsrManual.pdf.pif) ou d noms d fichirs très longs pour cachr l'xtnsion... L'attaquant n'a qu l'mbarras du choix. Un autr avantag, d taill, st qu l'utilisatur, mêm s'il s'aprçoit d l'arnaqu, n pourra pas changr lui-mêm la clé afin d supprimr l virus, sauf s'il connaît ctt tchniqu. Cla dit, mêm si son antivirus lui avrtit qu'un virus a été trouvé dans l lctur CD d sa clé USB,pnsz-vous qu'il y croirait? Et vous? Public (H:) ii 3.3 Encor plus loin Post d travan Fiqur 5,' Disqus d la clé, avc notr fichir autorun.inf p/'sonnalisé Il a égalmnt été possibl d mttr l nom MEMUP comm titr du CD, afin d fair croir qu'il s'agissait bl t bin d la clé Mmup. Bin sûr, il st plus judiciux d rprndr l'icôn t l nom d'origin, mais il n s'agit là qu d tsts, pour bin montrr ls changmnts sur la clé. 3.2 Ls risqus n rél Évidmmnt, pour un attaquant, il n'y a pas grand intérêt à forcr un utilisatur à fair ds maths. Mais pour lui, l fait d'y glissr un virus ou un programm d sa création st bin plus important. D ctt manièr, il put s'assurr qu, sur touts ls machins Windows (non protégés, voir la suit) où la cléira, son programm ntrra n action t pourra dérobr ds fichirs n ls copiant sur la clé, ou bin n s ls nvoyant par mail, comm cla a été décrit dans l'articl précédnt [2]. Il pourra égalmnt survillr ls frapps du clavir,dérobr ls informations ds autrs clésusbqui pourraint s connctr à la machin, désactivr crtains sécurités afin d facilitr l'accès ou la modification ds donnés... Enfin tout un programm d pirat, n somm. Ls différnts moyns d programmr ds scripts malvillants ont déjà été discutés dans d précédnts articls [2], t il st mêm possibl d trouvr ds kits spécialisés («clésn main», sij'os dir...) sur Intrnt, créés dans l but dfacilitrla mis n œuvr t l déploimntd ctyp d'attaqu. On put êtr ncor plus viciux qu cla, n automatisant l procssus: notr ami Bob (ds articls précédnts) put, dans son prochain fichir usbdumpr-4. sh, patchr automatiqumnt la clé d son «ami» Alic afin d'insérr un virus dans l lctur CD virtul. Il n'aura qu'à découvrir l typ d chacun ds partis d sa clé, xtrair l contnu d l'imag du CD, ajoutr son virus, modifir l fichir autorun.inf, rcrér l'imag avc mkisofs puis réécrir la clé (vous m suivz?). Tout cci très rapidmnt, t très silnciusmnt. Ainsi, la clé d'échang d'alic pourra infctr tous ss amis à la fois, t c, sans l moindr soupçon d lur part. Et malgré un formatag complt d la clé comm cla avait été préconisé comm moyn d protction, l lctur CD, lui, n changra pas, t l virus rstra donc dans la clé. Si la clé d'alic n contint pas d lctur CD virtul ou si clui-ci n'st pas modifiabl, il st tout à fait possibl qu'un jour c soit Bob qui aill chz Alic, avc sa propr clé piraté. Méfiz-vous donc ds clés qu l'on branch sur vos PC, mêm si ça paraît évidnt, on n'y pns pas toujours! Il put mêm arrivr qu l'on branch un clé sur votr machin sans qu vous n soyz au courant, n particulir sur un ordinatur portabl dans un liu public, dans l train par xmpl. Un momnt d'inattntion, t l mal st déjà fait. Onput égalmnts posr la qustiond la faisabilitédla chos sous Windows, c'st-à-dir qu'un virus puiss infctr ls lcturs CDvirtuls ds clés USB,par xmpl. Il srait alors nvisagabl d'installrun pilottrafiqué afin dpouvoiraffctrla clédirctmnt,
La sécurité ds clés USB SYSTÈME mais c n'st possibl qu'n tant qu'administratur (t c'st tout sauf silnciux). Il st égalmnt possibl d profitr ds bugs du pilot ou ds fonctionnalités d mis à jour pour écrir sa propr imag ISO dans la clé [3]. L lctur intérssé saura trouvr la documntation nécssair sur ls sits spécialisés. 4- Ls rcours D'abord, à l'insrtion 4. Commnt s protégr? dépndnt Ls xplications du précédnt articl [2] à propos d la désac- d la clé, ls lttrs d lctur choisis d la configuration donc puvnt êtr considérés d l'ordinatur d l'utilisatur, comm aléatoirs (par xmpl, tivation d l'auto xécution s'appliqunt dans notr cas aussi (car l sur mon PC principal, lctur CD n pourra alors plus démarrr automatiqumnt, L'astuc, dans l cas d'un virus, srait d détctr si l virus rst dans la clé). La modification mêm d la clé d rgistr il n'y a mêm plus d lttr disponibl...). la clé grâc à un nom d fichir connu ou au numéro approprié st donc un bonn parad (voir Figur 6), mais l lan- du systèm cmnt manul d la clé st toujours possibl, t l'attaqu au fichir fichirs, mais n l'mpêch pas. autorun.inf la lttr d d fichirs. Cla ralntit l procssus d séri d copi d dans la zon d stockag d la clé put tout à fait êtr utilisé n combinaison avc la modification d l'imag du CD. Plus Ensuit, avc ls clés tstés dans ct articl, l lctur CD n démarr pas automatiqumnt il y a d moyns, plus il y a d chancs d succès! dans un cas bin précis: clui où la clé st inséré pour :/ Éditur du Rgistr dition.' ;:' Afficnag Fay.oris l fraîchmnt O policis : 8 Explorr L O NonEnum Donnés tallé, (valur non défini) Cci sront ici d'aucun utilité, car ils n pourront virus d la clé. Tout au plus, ils avrtiront ls antivirus n pas supprimr l l'utilisatur du pro- Si vous n'avz la possibilité fois votr clé, vous pouvz toujours blèm, mais clui-ci risqu fort d n pas y croir ou tout sim- qulqus problèms plmnt n pas savoir quoi fair. tionn corrctmnt, Un parad égalmnt aucun distribution lair à l'autorun évidnt st d'utilisr Linux pour avc la clé USB. À ma connaissanc, Linux n propos sous Windows, d fonctionnalité simi- mais l jour où c sra l cas, CD virtul, Cpndant, qu'il xist sous form d packag, n particulir bin pour Gntoo. un attaqu l constructur. vulnérabl 4.2 Qulqus défauts Ctt tchniqu, désactivation mis à part ls défaillancs d l'autorun t d l'utilisation pour qu'll fonc- pas modifir comm décrit ici. Par xmpl, l'imag du ds tsts SanDisk U3 révèlnt qu'll (l'imag ISO rst la mêm après la mêm si dd n'indiqu 2006 [3], mttant qu'un sul t l tour st joué. n smbl pas vulnérabl pas proposé ds distributions, t qu'il faut la réinsérr mnés avc un clé d marqu manipulation, d'insérr nor- fair croir qu cll-ci a Enfin, touts ls clés n puvnt lctur il faudra s'n méfir. Un projt xist à c sujt [4], mais n'st par défaut sur la plupart car à la duxièm insrtion, ctt fois-ci tout fonctionn malmnt. n st toutfois provisoir, ---l Comm nous l'avons déjà fait rmarqur, ins- Windows lanc pas l'autorun. OxOOOOOOff(255) I\HKEY _LOCALjACHINE\50FTWARE\Microsoft\Windows\CurrntVrsion\policis\Explorr fair ss manipulations la prmièr fois. L lctur étant similair aucun mssag d'rrur). sur cs clés a été publié n n œuvr l logicil d mis àjour fourni par Bin sûr, cla n vut pas dir qu'll n'st pas aux virus, mais ll n'st pas vulnérabl à l'attaqu décrit dans ct articl. Enfin, si c'st votr propr clé, il xist rlativs à la d Linux, souffr d qulqus défauts, mais ils n sont pas insurmontabls. sur Intrnt ds moyns physiqus d modifir la mémoir Flash d la clé, mais cla nécssit baucoup d matéril. plus d compétncs t
r- =@ Rmovabl [autorun] opn=recycler\\s -6-20-38029839-380937629 -53003923-233\ \jwgkvsq. vmx, ahazdrn i con=%systmroom \systm32\ \SHELL32.dll,4 action=opn foldr to viw fils sh \ \opn=opn sh \ \opn\ \command=recycler\\s--6-20 -38029839-380937629 -53003923-233\ \jwgkvsq. vmx,ahazdrn sh \ \opn\\dfaul t=l Disk (G:) o Always do this for softwar and gams: Install or run program : Opn foldr t vlw fils..................... L._._._._..:...:._..._._._..._.._._..._.._. Gnral options Opn fuldr t viw fils U5lng \'Vindows Explorr 4, --. Figur 8 : Exmpl d fichir autorun.inf qui produit l résultat d lafiqur 7. Rmarquz qu l'xécutabl st dissimulé dans la corbill d la clé. Spd up my systm using \'V!ndo':.$ Rdçêoost St AutoPlav dfaults În Control Panl - l fichir autorun.inf Figur 7: Présntation d l'autol'llll sous Vista, avc un fichir autorun.inf maliciux avc Vista. Et pourtant, Il faut égalmnt parlr d Windows Vista t Windows Srvr : la fonction Autorun n s comport désormais xécuté sans aucun un fnêtr propos l choix d l'action à mnr. Donc, a priori, l'attaqu 2008 était immédiatmnt action d l'utilisatur, autorun. i nf qui tromp l choix d l'utilisatur t 8). Ctt tchniqu plus d la mêm Conflickr manièr sur cs systèms. Alors qu, sur ls vrsions précédnts, n'st plus possibl c'st faux, car il suffit d crér un fichir a notammnt (voir Figurs été utilisé 7 par l vr [5]. Conclusion On a pu voir qu l'automatisation ds tâchs d l'utilisatur lui facilit la vi autant qu'aux attaquants. USB dvinnnt Ls points forts ds clés très vit ds points faibls, à partir du momnt où ds actions malhonnêts êtr utilisé à bon scint par un informaticin voudrait par xmpl pratiqur un installation d'un logicil sur un séri d PC n insérant cils ncombrants qu ls constructurs Afin d s protégr un maximum qui automatiqu un simpl clé, utilisr ss proprs outils ou ncor s débarrassr d cs logi- nous forcnt à utilisr. contr c typ d'attaqus, faut donc êtr crtain qu la clé n'st pas modifiabl tul), n jamais cliqur sur ls auto xécutions vr dès qu possibl) sont possibls. Ctt tchniqu put toutfois ou bin d'achtr un clé qui n propos pas d lctur CD vir- dédiés à c typ d'échangs, (un simpl tst sous Linux comm clui décrit plus haut prmt d l vérifir un machin (t ls désactit un clé USB sur un systèm d'xploitation propriétair, afin d'évitr un vol d donnés trop important. évidmmnt, évitr ls clés proposant intégrés ds fonctions non Et d'autorun (par xmpl [6]). Encor un fois, t comm dans bin ds cas, un snsibilisation ds utilisaturs il t utilisr sur ls risqus liés aux clés USB t aux échangs d fichirs t d'informations n général [7] st primor- dial, car c sont aussi ls plus vulnérabls n la matièr. t ls plus créduls Rmrcimnts souhaitrais n particulir rmrcir chalurusmnt touts ls prsonns m'ayant aidé à la rédaction, aux tsts t à la rlctur M. Nidal Bn Aloui, M. Pirr Bétouin t, bin sûr, M. Frédéric Raynal, pour la publication d ct articl, d mon prmir articl. Référncs [] http://www.mmup.fr/pop-key-la-ptit-clcolor-t-rtractabl-!_a333 html [2] MIs n042, pags 60 à 67. [3] http:jjwb.archiv.orgjwbj2oo802402248j www.mcgrwscurity.comjrsarchjhackingu3j [4] http://sourcforg.nt/projcts/autorun/ [5] http://n.wikipdia.org/wiki/autorunattack_vctors [6] http://www.flashbay.com/usb_flash_driv_autorun_stup.html [7] http://n.wikipdia.org/wiki/usb_flash_drivscurity