Des vulnérabilités liées à l'USB ?

Des vulnérabilités auraient été découvertes au niveau du pilote USB de Windows, qui permettrait d'ouvrir une session utilisateur protégée par mot de passe, en insérant sur la machine ciblée une simple clé USB, spécifiquement programmée dans ce but.

Le problème aurait été découvert par SPI Dynamics. Le chargement du pilote USB sur Windows permettrait effectivement d'exploiter un dépassement de mémoire tampon pour obtenir les droits administratifs sur une machine non-protégée, sur laquelle on peut effectivement utiliser une classique clé USB. Un responsable de SPI explique que le problème n'est pas directement lié à Windows, mais plutôt à la technologie USB en elle même. Des démonstrations ont déjà été faites sur Windows, mais « tous les autres systèmes sont probablement vulnérables », ajoute ce même responsable.

Aucun rapport de sécurité n'a été envoyé à Microsoft à ce sujet. SPI est toujours en train d'évaluer les risques liés à cette faille et pense faire une nouvelle démonstration cette semaine lors du « Black Hat Briefings Hack Conference » à Las-Vegas. SPI précise que les détails liés à cette faille ne seront pas publiés. Reste à espérer qu'ils seront au moins confiés à Microsoft et aux autres développeurs concernés par le problème...

Des chercheurs chez Safend ont découvert des failles similaires dans la technologie USB et dans d'autres protocoles utilisés par certains périphériques. Suite à cela, Safend a commercialisé un logiciel permettant aux entreprises de limiter les possibilités liées à l'USB et à celles d'autres protocoles.

DeviceLock a également développé une technologie permettant de sécuriser davantage l'utilisation de certains périphériques. Aux Etats-Unis, certains hopitaux ont décidé de se tourner vers Safend et DeviceLock pour sécuriser leurs parcs informatiques, lorsque des employés ont commencé à exploiter des Clés USB pour stocker leurs données sur des machines qui étaient dépourvues de lecteur de disquettes.

L'un des responsables du parc informatique d'un centre hospitalier affirme à ce sujet, qu'il attendait une réponse de Microsoft liée à ce problème de sécurité. Mais il a déçu par le manque d'intérêt qui a été porté à son problème. Microsoft aurait simplement d'affirmé qu'il était ici question d'un problème matériel négligeable.

A présent, ces hopitaux se sont tournés vers des solutions d'enregistrement de données cryptées à l'aide de clés USB particulières et d'outils d'audit. Seules les clés USB fournies par Safend sont désormais exploitées, les autres périphériques (iPod, clés USB non-sécurisée et autres baladeurs / disques externes) ne fonctionnent plus sur les machines sécurisées.

De nombreuses entreprises se penchent déjà sur ce problème lié aux disques USB qui peuvent également générer des problèmes de fuites liées à la copie de données sensibles non-cryptées. Microsoft devrait proposer davantage de sécurité à ce niveau avec Windows Vista, son prochain système prévu pour 2006, comme cela a déjà été évoqué dans cette brève.