Le O.MG Elite USB-C ressemble au bon vieux cheval de Troie. Un cadeau que l’on vous fait et qui cache une solution pour passer vos défenses afin de mieux vous détruire. C’est vieux comme le monde mais toujours aussi efficace qu’au premier jour.
Le O.MG Elite USB-C, c’est la nouvelle version d’une attaque très répandue il y a quelques années. Des petits malins achetaient une poignée de clé USB de marque de belle capacité, les remplissaient de données classiques comme des photos de vacances ou des fichiers musicaux, et les abandonnaient sur le parking d’une société ou sur la table basse d’une salle d’attente. La clé était alors ramassée par un quidam avec de grandes chances de la voir exploitée dans la société visée. Une fois le contenu analysé par le chanceux qui l’avait ramassée, la clé était utilisée pour stocker des documents variés.
Problème, en plus des documents visibles intégrés volontairement dessus, se trouvait un logiciel malicieux qui pouvait réagir de différentes manières. Enregistrer toutes les frappes du clavier, communiquer avec un serveur distant et j’en passe. La clé était un cheval de Troie matériel pour pénétrer dans la société et se connecter à son réseau.
Le câble O.MG Elite USB-C propose exactement la même chose. Mais au lieu d’être déployé sous la forme d’une clé USB, il est proposé sous la forme d’un objet « inerte » par défaut. Un câble n’est pas censé contenir d’éléments capables de dialoguer de manière autonome avec le matériel sur lequel il est branché.
Ce que montre Jon Bruner de la société Lumafield spécialisée dans l’inspection de matériel par imagerie à rayons-X de type CT-Scan appelée tomodensitométrie en français, c’est un câble spécifiquement conçu pour pénétrer des systèmes informatiques. Ce câble a été construit par un expert en informatique spécialiste de l’intrusion de réseau comme « proof of concept ». Un moyen de montrer par l’exemple la dangerosité de ce type de produit à priori « innocent » dans un univers professionnel ou diplomatique.
Bien que ressemblant à un câble classique, le produit ci-dessus cache en réalité un appareillage suffisant pour pénétrer un réseau, mais aussi communiquer directement avec l’extérieur. C’est le genre d’accessoire qui peut être intégré dans le paquet d’un smartphone, qui peut venir remplacer un câble existant ou être proposé avec un chargeur et mis sous blister.
Seulement une fois passé au CT-scan, on découvre un peu plus de composants que prévu dans l’objet. Un SoC est présent à droite et en bas à gauche, le petit « tube » est en fait une antenne pour envoyer des signaux. Par rapport à câble USB classique, le câble est clairement différent intérieurement, mais pas spécialement extérieurement.
Mais le plus incroyable vient du fait que le microcontrôleur positionné dans le câble apparait au premier abord parfaitement classique. Il est nécessaire au bon fonctionnement du câble. Mais par-dessus, en reprenant les ports de communication et d’alimentation du câble, a été caché un autre composant. C’est ce composant qui sera en charge d’espionner l’utilisateur. Les usages peuvent être très variés. On pourra enregistrer les frappes du clavier et les transmettre, injecter du code, déclencher des actions sur la machine sur lequel le câble est connecté comme si c’était l’utilisateur pour lancer un hack encore plus puissant, mais aussi effacer des données, installer un ransomware, utiliser l’identité de l’utilisateur pour générer des factures ou commettre des actes délictueux, etc. Des clés peuvent également court-circuiter les matériels pour faire fuiter des données.
Autrement dit, avec ce simple câble tout à fait anodin, un hackeur pourra pénétrer un réseau informatique de l’intérieur ou simplement avoir accès à toutes les données de son smartphone.
Avec un élément à garder en tête et qui est souvent rappelé par toutes les sociétés de sécurité qui construisent ce type d’appareil malicieux pour l’exemple. Si eux arrivent à fabriquer des câbles de ce genre, d’autres y parviennent également. Que ce soient des états, des sociétés concurrentes ou des mafias, les outils nécessaires pour y parvenir sont à la portée de beaucoup de monde. Sans entrer dans une paranoïa extrême – ce qui ne semble pas être le cas de nos ministres par exemple – il faut y réfléchir quand on est en charge des données de son entreprise. Fournir les éléments nécessaires à l’usage de son matériel parait généralement plus sûr que de laisser son personnel aller acheter celui-ci de son côté. Même pour des câbles, des clés, des docks ou des accessoires divers.
2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Ma société, filiale informatique d’un grand groupe, est très a cheval sur la sécurité avec des restrictions qui nous mettent parfois des bâtons dans les roues.
Par contre, pour travailler avec un minimum de confort chez soi en télétravailler – avec VPNs et double authentifications dans tous les sens – elle refuse nous payer quoi que ce soit, il faut soit ruser, soit aller se débrouiller à acheter nous meme nos hubs et autres petits équipement.
Un mauvais calcul à la lecture de cette article !
Correction: « des actions sur la machine sur lequel le câble est connecté » -> « sur laquelle »
Impressionnant l’intégration de ce câble, et que cela soit si simple à produire en si petite série semble-t-il
OMG! Non non, c’est tout…😄
Cela fait peur, et dissuade d’acheter des câbles sur AliExpress ou d’autres sites du même genre, ou de marques peu connues. On imagine très bien l’état Chinois inonder le marché avec ce genre de câbles via des sociétés chinoises (ou même les Américains via Amazon et des vendeurs tiers, mais ils ont moins le contrôle).
@JCB: Autant l’injection de code malveillant sur des clés USB vierge noname est une pratique assez répandue, autant ici ce serait un investissement très lourd à mettre en place pour un résultat complexe et hasardeux.
Si d’un coup 100 000 personnes envoient des informations en vrac vers un serveur et qu’il faut les dépiauter pour tenter de trouver des éléments intéressants, ce n’est pas très viable. Alors que si tu cibles une personne ou une entreprise, tu peux ne créer que quelques câbles avec une signature précise et ne recevoir des informations ciblées. Par exemple, tu envoies des smartphones de luxe en cadeau à des attachés parlementaires ou des cadres de la part d’un sous-traitant quelconque. Sauf que tu remplaces le câble d’origine par un câble de ce genre. Là, tu as plus de chances d’avoir un gros impact.
Par contre, si la solution se développait de manière intensive et devenait beaucoup moins chère à produire, là ce serait inquiétant. Et il faudrait alors que les câbles soient authentifiés par les marques d’une manière quelconque. Ce qui n’arrangerait évidemment pas le consommateur.
@Pierre Lecourt: oui effectivement, cela me semble plus orienté espionnage industriel ou politique. En soit, c’est vieux comme les civilisations. Mais la numérisation de nos vie a ouvert la porte à des tas d’autres moyens pour parvenir à ses fins.
Là, ça me fait immédiatement penser à l’histoire des bipers qui ont explosés simultanément au Liban ou à celle d’un énorme coup de filet dans le milieu de la pègre internationale (il y 2 ans environ, 7000 arrestations de mémoire) grâce aux téléphones cryptés qu’elle utilisait mais qui avaient été vérolés en amont par les services secrets.
@Luc: Bonjour Luc, vous faites probablement allusion aux mobiles encrochat, dans ce cas c’était le serveur responsable des mises à jour OTA des terminaux qui avait été légalement utilisé par les services pour fournir une mise à jour maison, permettant la récupération des informations souhaitées. Bonne fin de journée a vous
Sur mon tél Android (Samsung), j’ai un popup quand je branche le câble USB-C qui me demande si je veux partager des données avec le PC, ou rester en mode de rechargement.
N’est-ce pas suffisant pour déjà repérer un câble suspect, puis empêcher par défaut l’accès à mon téléphone pour se « servir » dessus ?
J’imagine (à tord ?) que ce mode empêche toute communication sur la partie Data du câble (hors negotiation du type de charge) et donc aucun logiciel malveillant ne pourrait passer ?