Attaques applicatives via périphériques USB modifies infection virale et fuites d'informationsBenoit Badrignans

Les infrastructures critiques font face à des menaces de malwares et de fuites d'informations, y compris lorsqu’elles sont isolées d’Internet. Les attaques récentes ciblant les systèmes industriels, comme Stuxnet ou Duqu, utilisent l’USB pour contourner cette isolation et atteindre leur cible. Si de bonnes pratiques lors de la configuration des systèmes d'exploitation peuvent éviter certaines attaques véhiculées par des périphériques USB standard, cet article montre que l'usage de périphériques USB dont le logiciel embarqué a été modifié par un attaquant permet de contourner la plupart des protections connues. Les attaques USB peuvent intervenir à plusieurs niveaux (matériel, driver de l'OS, pile USB de l'OS, protocole USB comme HID ou Mass Storage, au niveau applicatif). Cet article se concentre sur les attaques au niveau applicatif, ce qui rend l'implémentation relativement simple et leur détection complexe car difficile à distinguer des actions d'un utilisateur légitime. L'article détaille les protections recommandées aujourd'hui, met en évidence leurs limites vis à vis des dernières attaques publiées, propose deux nouvelles attaques permettant d'écrire sur des clefs ou des disques dur USB même si ceux-ci sont montés en lecture seule par le système d'exploitation, et montre comment contourner certaines protections basées sur des antivirus.


Critical infrastructures face malwares and data leakage threat, even when disconnected from Internet. Latest attacks against industrial systems, such as Stuxnet and Duqu, use USB bus to get around this isolation and reach their target. Good practices in systems configuration may avoid some of these threats, but this article shows that they are mainly useless against specially designed USB peripheral firmwares (malicious USB drives). Attacks may occur at different levels (hardware, drivers, USB stack, protocols like HID or Mass Storage, applicative). This article mainly focus on applicative attacks because it facilitates implementation and makes it difficult to detect since quite similar to user legitimate behaviour. This article first describes current recommended precaution, then shows their limits next to recently published attacks, it proposes also two attacks allowing to write on a USB drive even if host operating system mount it read-only, and shows how to get around some antivirus based protections, finally some counter measures are discussed.