Luca Bongiorni, de Bentley Systems, a pris la parole lors du SAS 2019 et a expliqué que les dispositifs USB sont la première source malware pour les systèmes de contrôles industriels. Les personnes impliquées d’une façon ou d’une autre en sécurité ont entendu beaucoup d’histoires sur les clés USB « accidentellement » oubliées dans les parkings. Cette anecdote sur la sécurité est bien connue, mais comme elle illustre à la perfection la situation, nous devions en parler.
Une autre histoire (réelle) sur les clés USB implique une personne qui travaillait au sein d’un établissement industriel et voulait regarder La La Land. Il a téléchargé le film sur une clé USB pendant sa pause repas. C’est comme cela que le système protégé par air gap d’une centrale nucléaire a été infecté. Il s’agit de la situation typique où une infrastructure critique est infectée alors que cela aurait pu être évité.
Les gens ont tendance à oublier que les clés ne sont pas les seuls dispositifs USB. Les périphériques d’interface humaine (HID), comme les claviers et les souris d’ordinateurs, les chargeurs de smartphones, et bien d’autres appareils (boules plasma ou encore tasses isothermes) peuvent être trafiqués pour s’en prendre aux systèmes de contrôles industriels.
Bref historique des armes USB
Même si les gens ne s’en souviennent pas, les dispositifs USB infectés ne sont pas vraiment une nouveauté. Les premiers dispositifs similaires ont été mentionnés pour la première fois en 2010. Ils reposaient sur une petite carte programmable appelée Teensy, étaient équipés d’un port USB, et pouvaient agir comme les HID en envoyant, par exemple, des messages à un ordinateur grâce aux frappes du clavier. Les pirates informatiques se sont vite rendu compte que ces dispositifs pouvaient être utilisés pour réaliser des tests de pénétration. Ils ont rapidement inventé une version programmée pour créer de nouveaux utilisateurs, ont exécuté des programmes qui ajoutaient des portes dérobées, et ont inséré un malware en le copiant, ou en le téléchargeant à partir d’un site Internet en particulier.
La première version de cette modification de Teensy s’appelait PHUKD. Kautilya, qui était compatible avec les cartes les plus connues Arduino, a été la méthode suivante. Puis il y a eu Rubberducky, qui a peut-être été l’outil USB de simulation de frappe le plus célèbre grâce à Mr Robot, et ressemblait à la majorité des clés USB. Un dispositif beaucoup plus puissant, Bash Bunny, a été utilisé pour attaquer les distributeurs automatiques.
La personne qui a inventé PHUKD a tout de suite eu une idée de génie, et a créé une souris infectée par un cheval de Troie avec une carte permettant de réaliser un test d’intrusion. En plus de fonctionner comme n’importe quelle souris, celle-ci pouvait faire tout ce que PHUKD voulait. Pour un spécialiste en ingénierie sociale, il pourrait être plus facile d’utiliser ces HID pour pénétrer dans un système que s’il se servait de clés USB. Le résultat serait le même puisque même les personnes qui en savent suffisamment pour ne pas connecter n’importe quelle clé USB à leur ordinateur ne se méfient généralement pas des claviers et des souris.
La seconde génération de dispositifs USB infectés a été créée en 2014-2015, et inclut les dispositifs tristement célèbres basés sur BadUSB. Il convient également de mentionner TURNIPSCHOOL et Cottonmouth, qui ont soi-disant été développés par l’Agence nationale de la sécurité des États-Unis (NSA). Ces dispositifs étaient si petits qu’ils pouvaient être installés dans un câble USB, puis utilisés pour extraire les données d’un ordinateur, qu’il soit connecté ou non à un réseau. Il s’agissait d’un simple câble, donc rien de vraiment inquiétant à priori, n’est-ce pas ?
La situation actuelles des dispositifs USB infectés
La troisième génération des outils USB qui permettent de réaliser des tests d’intrusion a atteint un tout autre niveau. L’outil WHID Injector est l’un d’entre eux, et il s’agit tout simplement de Rubberducky avec une connexion Wi-Fi. Comme il est connecté en Wi-Fi, il n’y a pas besoin de programmer en amont toutes les actions qu’il est censé effectuer. Un pirate informatique peut contrôler l’outil à distance, ce qui apporte une certaine flexibilité, et lui permet de travailler avec différents systèmes d’exploitation. P4wnP1 est un autre outil de troisième génération, basé sur Raspberry Pi, qui ressemble à Bash Bunny avec certaines fonctions supplémentaires, y compris une connectivité sans fil.
Et, bien évidemment, WHID Injector et Bash Bunny sont assez petits pour être intégrés dans un clavier ou une souris d’ordinateur. Cette vidéo montre comment un ordinateur portable connecté à un réseau par USB, Ethernet, ou Wi-Fi peut être contrôlé à distance par un pirate informatique grâce à un clavier qui contient un cheval de Troie. Cette méthode lui permet d’exécuter des ordres et de lancer des applications.
— Luca Bongiorni (@CyberAntani) February 14, 2018
Les petits dispositifs USB, comme les deux éléments dont nous avons parlé antérieurement, peuvent même être programmés pour ressembler à un certain modèle HID, ce qui leur permet de contourner les politiques de sécurité des entreprises qui n’acceptent que les souris et claviers de certaines entreprises. Les outils comme WHID Injector peuvent aussi être équipés d’un microphone pour mettre en place une surveillance vidéo, et espionner les personnes d’une institution. Pire encore, ce genre d’appareils peut mettre en danger l’intégralité du réseau, sauf si le réseau en question est bien segmenté.
Comment protéger vos systèmes des dispositifs USB infectés ?
Les souris et claviers infectés par un cheval de Troie, ainsi que les câbles malveillants et la surveillance sont de sérieuses menaces qui peuvent même être utilisées pour mettre en danger les systèmes protégés par air gap. De nos jours, les outils permettant de réaliser ce genre d’attaques peuvent être achetés à bas prix, et programmés sans que la personne n’ait besoin d’être un expert en programmation. C’est pourquoi ces menaces devraient vous inquiéter.
Adoptez une approche à plusieurs niveaux pour protéger votre infrastructure critique de ce genre de menaces.
- Garantissez d’abord la sécurité physique pour que le personnel non autorisé ne puisse pas connecter n’importe quel dispositif USB aux systèmes de contrôles industriels. Bloquez physiquement les ports USB que ces systèmes n’utilisent pas, et empêcher le retrait des HID déjà connectés.
- Formez vos employés pour qu’ils connaissent les différents genres de menaces, y compris les dispositifs USB infectés, et ainsi éviter certains incidents comme celui de La La Land.
- Segmentez correctement le réseau, et gérez les droits d’accès pour empêcher les pirates informatiques d’atteindre les systèmes utilisés pour contrôler les infrastructures critiques.
- Protégez tous les systèmes de l’entreprise en installant des solutions de sécurité qui peuvent détecter toutes les menaces. La technologie de Kaspersky Endpoint Security ne va pas autoriser les HID à se connecter, sauf si l’utilisateur saisit un code en utilisant un HID déjà autorisé à réaliser cette action.