Une nouvelle menace sur les ordinateurs fonctionnant avec Windows et macOS. Une simple clé USB programmable peut servir à voler les identifiants.
En entreprise, les règles de sécurité imposent qu’un utilisateur verrouille son poste de travail lorsqu’il la quitte. Le problème est que cette manière de faire ne suffit pas à protéger un ordinateur contre le hack mis au point par le chercheur en sécurité Rob Fuller. Qu’il fonctionne sur Windows ou macOS, un ordinateur n’est pas à l’abri de ce hack, même s’il est consciencieusement verrouillé.
Avec sa solution, il suffit à Rob Fuller d’une quinzaine de secondes pour voler les identifiants d’un utilisateur sans déverrouiller la machine, simplement en insérant une clé USB programmable. Concrètement, cette clé USB simule un réseau local.
N’y voyant que du feu, l’ordinateur lui envoie automatiquement des requêtes de connexion avec identifiants, et cela même s’il est verrouillé. Il suffit de récupérer le login et le mot sous forme de « hasch » et de les utiliser pour des attaques de type « pass the hash » pour accéder à d’autres parties du réseau, ou même tenter de casser le cryptage, ce qui n’est pas impossible non plus.
Une clé USB qui fait croire à un réseau local
Le hack que Rob Fuller a mis au point consiste à prendre une clé USB programmable sous Linux, tel que LAN Turtle ou USB Armory, et de la modifier de telle manière que l’ordinateur ait l’impression qu’il s’agit d’un adaptateur USB Ethernet connecté à un véritable réseau local.
C’est ainsi qu’elle est par exemple dotée d’un serveur DHCP qui attribue une adresse IP à la machine et d’un logiciel Responder pour simuler un serveur d’authentification.
De fait, une fois que cette clé est branchée sur un ordinateur, celui-ci va automatiquement lui envoyer des requêtes de connexion qui incorporent les identifiants de l’utilisateur. « Pourquoi est-ce que cela marche ? Parce que la technologie USB est plug and play. Ce qui veut dire que même lorsqu’un ordinateur est verrouillé, l’appareil est quand même installé », explique le chercheur en sécurité.
« Les ordinateurs créent du trafic réseau en permanence, même si aucun navigateur ou une autre application n’est utilisé. Et la plupart des ordinateurs font confiance à leur réseau local », explique encore Rob Fuller. Il indique que son attaque fonctionne avec des machines fonctionnant sous Windows 98 SE, Windows 2000 SP4, Windows XP SP3, Windows 7 SP1 et Windows 10, mais aussi avec les ordinateurs qui font tourner macOS El Capitan et macOS Mavericks.
Alors que ce hack va donner de sérieuses sueurs froides à tous les administrateurs réseau, la seule solution à l’heure actuelle est de désactiver les ports USB d’une machine.
Il est par ailleurs à noter que le site de vente de LAN Turtle est en train de renouveler son stock en raison d’une demande croissante pour ce type de clé USB, une hausse de la demande qui doit en partie correspondre à un nouvel intérêt des hackers pour ce genre de dispositif. [VIDÉO]