Les connexions USB, le type d’interface le plus utilisé sur la planète pour connecter des appareils à des ordinateurs, sont vulnérables aux fuites d’informations, ce qui les rend bien moins sécuritaires que précédemment estimé, révèle une étude australienne.
Des chercheurs de l’Université d’Adélaïde ont testé plus de 50 ordinateurs et concentrateurs USB externes différents, et constaté que 90% d’entre eux laissaient couler des informations à destination d’un appareil USB externe. Les résultats seront présentés lors d’une conférence sur la sécurité informatique à Vancouver, la semaine prochaine.
« Parmi les appareils connectés par USB, on compte des claviers, des lecteurs de cartes magnétiques et des lecteurs d’empreintes digitales qui envoient souvent des informations importantes à l’ordinateur », indique le leader du projet, le Dr Yuval Yarom, chercheur associé à la School of Computer Science de l’Université d’Adélaïde.
« On pensait que puisque l’information était uniquement envoyée de façon directe vers l’ordinateur, cette information était protégée contre des appareils potentiellement compromis. Mais nos travaux ont démontré que si un appareil malveillant ou un appareil ayant été modifié était branché dans des ports adjacents sur le même concentrateur USB interne ou externe, ces information importantes pouvaient être captées. Cela veut dire que les données entrées pour composer des mots de passe ou d’autres informations personnelles peuvent facilement être volées. »
Selon le Dr Yarom, ces fuites sont similaires à de l’eau s’écoulant d’un tuyau qui n’est plus étanche. « L’électricité circule comme de l’eau dans des tuyaux – et elle peut fuir », dit-il. « Dans le cadre de notre projet, nous avons démontré que les fluctuations du voltage dans les lignes de données des ports USB peuvent être surveillées à partir des ports adjacents sur le concentrateur USB. »
Cette fuite a été découverte par Yang Su, un étudiant en informatique de l’Université d’Adélaïde, en collaboration avec les Drs Daniel Genkin (Universités de Pennsylvanie et du Maryland) et Damith Ranasinghe (Université d’Adélaïde). Ceux-ci ont utilisé une lampe USB modifiée pour « lire » chaque touche tapée sur un clavier USB. Les données ont été transférées via Bluetooth vers un autre ordinateur.
Au dire du Dr Yarom, d’autres travaux ont révélé que si des clés USB sont échappées par terre, 75% d’entre elles sont ramassées et branchées sur un ordinateur. Ces clés pourraient pourtant avoir été modifiées pour envoyer un message via Bluetooth ou SMS vers un ordinateur se trouvant n’importe où dans le monde.
« Le message central est que les gens ne devraient pas brancher quoi que ce soit sur un port USB à moins que l’on sache que cet appareil soit sécuritaire », mentionne le Dr Yarom. « Pour les utilisateurs, cela veut habituellement dire de ne pas connecter les appareils de quelqu’un d’autre. Pour les organisations, cela nécessite davantage de sécurité; l’entièreté de la chaîne d’approvisionnement devrait être validée pour s’assurer que les appareils sont sécuritaires. »
La solution à long terme consisterait à modifier le design des connexions USB pour en améliorer la sécurité., indique le chercheur.
