PREMIER MINISTRE

S.G.D.N
Direction centrale de la scurit des systmes dinformation CERTA

Paris, le 09 novembre 2006 No CERTA-2006-INF-006-001

Affaire suivie par : CERTA

NOTE DINFORMATION DU CERTA

Objet : Risques associs aux cls USB

Les informations publies par le CERTA restent sous le contrle du CERTA. Toute rediffusion, en dehors du domaine du CERTA est soumise son autorisation crite. Le domaine dintervention du CERTA regroupe les administrations et les collectivits locales.

Gestion du document
Rfrence Titre Date de la premire version Date de la dernire version Source(s) Pice(s) jointe(s) CERTA-2006-INF-006-001 Risques associs aux cls USB 09 novembre 2006 14 novembre 2006 Aucune

TAB . 1 Gestion du document Une gestion de version dtaille se trouve la n de ce document.

Introduction

Les priphriques USB (pour Universal Serial Bus) occupent actuellement une place prpondrante dans lunivers de lappareillage informatique. Ils peuvent tre de tout type, comme par exemple un support de donnes amovible (cl USB, lecteur de musique au format MP3, etc). De par leur facilit dinstallation, ces priphriques schangent trs facilement dune machine une autre. Cependant, cette opration prsente des risques. Nous montrons dans ce document que ces changes peuvent aussi bien affecter le priphrique que lordinateur daccueil. Du fait de la simplicit et de la furtivit des attaques bases sur ces changes, il est important de prendre des mesures prventives. Il nest bien sr pas question de remettre en cause lutilit de lUSB, notamment les diffrents priphriques de stockage, mais certaines considrations doivent tre prises avant leur utilisation, que ce soit pour lutilisateur ou ladministrateur. Ce document offre donc quelques recommandations cet gard.

2
2.1

Prsentation de lUniversal Serial Bus

USB 1.0 et 2.0

LUSB (pour Universal Serial Bus) est une interface de connexion dnie dans les annes 90 et destine remplacer les ports srie et parallle sur les ordinateurs. Elle est utilise de nos jours pour brancher tout type de priphrique, que ce soient les imprimantes, les scanners, les modems, ou des appareils de stockage, comme les cls USB. Secrtariat gnral de la dfense nationale DCSSI SDO CERTA 51, bd de La Tour-Maubourg Tl.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax : 01 71 75 84 70 Ml : certa-svp@certa.ssi.gouv.fr

Sans rentrer dans les dtails fournis par les documents de rfrence, il existe, la date de rdaction de cet article, deux standards distincts, USB 1.1 et USB 2.0 : LUSB version 1.1 considre deux modes diffrents, dits lent (1,5 Mbits/s en thorie) et rapide (12 Mbits/s en thorie). Le premier mode, moins sensible aux perturbations lectromagntiques, convient aux petits transferts de donnes, comme ceux requis par les claviers ou les souris. Le second peut servir dans le cas dimprimantes, de scanners, de disques durs externes, ou de lecteurs et graveurs CD/DVDs. LUSB version 2.0 ajoute un nouveau mode, permettant des changes thoriques 480 Mbits/s. La compatibilit entre priphriques USB 1.1 et 2.0 est assure. Toutefois lutilisation dun priphrique USB 2.0 sur un port USB bas dbit limitera celui-ci 12 Mbit/s maximum. De plus, le systme dexploitation est susceptible dafcher un message expliquant que le dbit est brid. Les termes sont parfois utiliss de manire abusive, et la dnomination commerciale USB 2.0 Full Speed fait en ralit rfrence la version USB 1.1 en mode rapide, tandis que USB 2.0 High Speed correspond bien au standard 2.0. Larchitecture de type USB a pour caractristique de fournir une alimentation lectrique aux priphriques quelle relie, avec une tension maximale de 5V et un courant dau plus 500mA. Il est enn possible de connecter jusqu 127 appareils un Bus USB 1 un temps donn. LUSB se compose de plusieurs couches de protocoles, ou moyens de communication, qui ne seront pas abordes dans ce document. LUSB, pour rsumer, possde les proprits suivantes : la topologie en arbre dont la racine est normalement une machine hte (PC, Mac, etc.) ; les priphriques peuvent tre branchs et dbranchs sans arrter lordinateur ; les priphriques sont aliments par un bus ; il est possible de chaner jusqu 127 priphriques sur un mme bus USB (avec lutilisation dun hub par exemple); les priphriques inutiliss sont automatiquement mis en veille ; les priphriques sont identis et congurs automatiquement par les systmes dexploitation.

2.2

La norme On-the-Go

LUSB est contrl par un hte, install sur la machine daccueil. Lhte USB a la charge de mener bien toutes les transactions et de grer la bande passante. Cependant, depuis lUSB 2.0, il existe un protocole au pied lev (ou On-the-Go), qui permet, pour deux priphriques USB, de ngocier et dlire un hte parmi eux. Lintrt est le suivant : on peut relier deux priphriques sans ordinateur. Parmi les illustrations les plus courantes, il peut sagir dune imprimante et dun appareil photo numrique relis entre eux, ou bien dun lecteur MP3 et dune cl de stockage USB.

2.3

LUSB sans l?

Des projets consistant porter des caractristiques de lUSB au domaine du sans-l tendent apparatre, lun en particulier tant dj trs mdiatis : le Wireless USB (sappuyant sur la technologie UWB, Ultra-Wideband), lanc par un conglomrat de constructeurs, promet des produits commercialiss dans les mois venir. Nous ne voulons pas nous tendre pour le moment sur cette nouvelle approche USB, mais il sera intressant, en temps voulu, de vrier si celle-ci permettra dviter les problmes mentionns dans les paragraphes suivants et si elle prsentera des problmes spciques.

2.4

Gnration USB U3

Cre par la socit U3 avec le soutien de constructeurs de mmoire ash, cette technologie transforme une clef USB en un systme portable contenant des chiers et des applications favorites. Une clef USB U3 dispose dun logiciel, ou lanceur, qui sexcute sur lordinateur hte an de prsenter (le plus souvent) les applications disponibles. Il est facile de grer son contenu via un menu "Dmarrer" (ou lanceur) ddi accessible dans la barre des tches. Il est alors possible dafcher lcran son systme personnel sauvegard sur la clef USB avec son fond dcran et un accs facile aux diffrentes applications. Les inconvnients de la gestion dapplications sur les clefs traditionnelles sont donc effacs : laccs aux programmes se fait simplement et de manire transparente pour lutilisateur ; sappuyant sur un format qui cherche se standardiser, loffre logicielle compatible avec U3 ne cesse de se dvelopper.
1. Le bus USB est linterface matrielle, souvent incluse dans la carte mre dun ordinateur, permettant de relier lunit centrale un priphrique USB.

Autre caractristique des clefs U3 : elles ne laissent que trs peu de traces sur lordinateur hte puisque les documents contenus sur la clef sont ouverts avec des applications elles aussi prsentes sur la clef (y compris les cookies rcolts lors dune navigation sur lInternet). Les tches dcriture se font via la mmoire volatile de la machine hte uniquement, et ces applications ne modient ni la base de registre, ni la mmoire morte (ROM) de cette dernire. De nombreuses applications gratuites ou payantes ont dsormais des versions compatibles avec U3 : notamment le logiciel de voix sur IP Skype ou le navigateur Firefox. Dautres logiciels sont galement disponibles : jeux, bureautique, gestionnaires dimages ou de chiers audio MP3 ; et cette offre logicielle augmente de jour en jour. LUSB U3 prsente donc un avantage, pour la matrise de lapplication utilise ; par exemple, quand une personne est amene utiliser un ordinateur dont la conguration et le niveau de scurit ne sont pas connus (comme dans un cyber-caf, un htel, un aroport, etc). Cela permet dutiliser ses propres applications, plutt que certaines mconnues, ou aux mises jour et la conguration non spcies. Elle reste cependant tributaire de la machine daccueil pour toute communication, toute saisie, et tout transfert de donnes vers lextrieur, et cette opration peut lexposer certains risques dcrits dans les paragraphes qui suivent.

3
3.1

Risques associs lUSB

Vol dinformations de la cl

Une cl, ou tout autre support de stockage USB, est, une fois branche sur une machine, la merci de celle-ci. Un processus fonctionnant silencieusement, peut trs bien attendre que la cl soit branche (information signale par le systme dexploitation) pour enclencher une procdure de lecture et de copie du contenu de la cl. Un tel processus, comme la plupart des codes malveillants actuels, ne sera pas facilement dcelable sur la machine hte (dissimulation au niveau de la liste des tches, des appels systme, etc.). Certains outils plus pernicieux permettent mme de faire une image complte de la cl. Outre le vol de documents prsents dans celle-ci, ce procd peut galement faciliter la rcupration de tout ou partie de documents effacs sur la cl. Les cls disposent de voyants lumineux, montrant les changes de donnes. Un clignotement anormal de la cl peut donc tre une premire indication dune telle activit de copie. Attention cependant, le voyant peut aussi tre manipul de manire logicielle sur certaines cls. Quelques secondes sufsent enn pour drober plusieurs Mo de donnes avec les performances USB actuelles.

3.2

Excution dapplications hberges par la cl

Laction malveillante du paragraphe prcdent est perptre par la machine daccueil. Une autre approche, ou action malveillante, se nomme podslurping et seffectue depuis le priphrique. Elle consiste brancher sur un systme un support de stockage, ou aussi un lecteur MP3 (podslurping fait rfrence au produit iPod dApple), an den drober furtivement de linformation. Lingnierie sociale, ou la force de persuasion, peut tre associe cette approche, an de provoquer le branchement, et de perptrer le vol des informations. Une phrase parmi les dialogues possibles pourrait tre : "Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB ?... Les batteries sont dcharges, et je ne rentre que demain chez moi. Merci beaucoup !". Pendant quelques minutes, une partie du disque est copie sur le lecteur de musique, qui dispose dun espace de stockage important (de lordre de quelques Go plusieurs dizaines de Go), et dont lusage ne fait pas obligatoirement penser un priphrique de stockage. Ce scnario est aussi valable avec un appareil photo numrique. Ce problme nest absolument pas rcent, et existait dj lpoque des disquettes. Cependant, les supports de stockage ont maintenant une capacit et un dbit de transfert beaucoup plus importants, ce qui augmente la quantit de donnes pouvant tre drobes dans un cours intervalle de temps.

3.3
3.3.1

Problmatique des cls USB U3

Mises jour des logiciels

De nombreux scnarios dattaques tudis par le CERTA dans le cadre des incidents quil traite au quotidien sont dus une absence de mises jour, qui ouvre une brche au niveau applicatif. Il en va de mme pour cls USB U3, dont le premier point dlicat rside dans la maintenance des logiciels compatibles avec U3. 3

Ces logiciels, comme nous lavons vu, sont pour la plupart des dclinaisons de ceux manipuls sur des systmes plus standards (navigateur, client de messagerie, etc). En revanche, ils ont subi quelques modications pour fonctionner sur le support U3, et quelques sites centralisent ces versions particulires. Il se pose alors la question des mises jour de ces dernires. Il nest pas vident que les sites suivent de manire ractive les modications des diteurs ofciels. Par ailleurs, la cl ne peut tre mise jour que si lon dispose dune connexion Internet. Imaginons alors le scnario suivant : 1o lutilisateur possde une cl U3, essentiellement pour un usage bureautique, an de faire des prsentations. 2o lutilisateur branche sa cl rgulirement pour lire, rdiger et prsenter des transparents. 3o la cl nest pas mise jour ; elle possde une version du logiciel de bureautique ayant des vulnrabilits permettant une excution de code arbitraire par le biais dun document spcialement conu. 4o la cl peut servir contaminer les ordinateurs sur lesquels les transparents sont visionns. Il est trs dlicat dimposer aux utilisateurs dune cl de se connecter Internet pour effectuer les mises jour. Ce nest pas ncessairement lusage premier qui est recherch. Pour rsumer, il existe les problmes suivants, lis aux applications disponibles actuellement : 1. il nexiste pas de mise jour automatique. Pour effectuer lune delle, il faut supprimer lapplication courante, an dinstaller une version plus rcente ; 2. les applications compatibles avec U3 sont maintenues par certains sites, mais : les diteurs lgitimes ne donnent gnralement aucune garantie sur ces versions ; les versions sont modies, et leur conguration est souvent criticable. Par exemple, linstallation dun navigateur implique une page daccueil spcique, une barre de recherche pr-installe et mconnue, une conguration peu regardante sur la scurit (taille du cache, activation du javascript), des favoris par dfaut, etc. certaines applications sont des espiogiciels, voire des troyens. Il peut aussi sagir de jeux par exemple, compatibles avec U3, mais ncessitant au pralable un enregistrement via lInternet (quel est le but de cette collecte dinformation?). 3. lutilisateur doit rgulirement surveiller les sites, donc se connecter, pour dcouvrir les mises jour. Il reste possible de dvelopper soi-mme les versions de certaines applications (en faisant attention aux problmes de licences). Plusieurs dtails pour oprer se trouvent sur lInternet, mais cela reste marginal, et ncessite la fois des connaissances minimales pour compiler du code et une disponibilit des chiers sources. 3.3.2 Vol dinformations

Compte tenu des applications disponibles, les cls U3 sont susceptibles de contenir des informations personnelles ou condentielles : la conguration du client de messagerie ; les contacts stocks par le client de messagerie ; les pages en cache du navigateur Internet ; les sites favoris installs sur le navigateur ; des mots de passe grs par une application ddie (application frquemment offerte par dfaut avec la cl). Le risque du vol de donnes comme il existe pour les cls classiques reste prsent. Malheureusement, lutilisation dapplications impose de fournir sur la cl U3 un minimum dinformations pour leur bon fonctionnement. Dautres applications U3 incitent galement centraliser des donnes condentielles sur le support USB (gestionnaire de mots de passe par exemple). Le vol de celles-ci peut avoir des consquences varies et gnantes.

3.4

Les lanceurs malveillants

Pour nir, il faut noter que les cls U3 sont gnralement fournies avec un lanceur, qui donne accs aux applications, une fois la cl insre. Cependant, certains lanceurs malveillants sont galement disponibles. Ils permettent dexcuter directement des actions linsertion de la cl, et sont fournis avec des outils permettant : de rcuprer les tables de mots de passe, dinstaller une capture de clavier ou un rootkit, difcilement dcelables a posteriori.

4
4.1

Les recommandations du CERTA

Comptes utilisateurs et droits

La cl ne dispose pas dautres droits que ceux de lutilisateur courant sous Windows. Pour limiter les actions que celle-ci peut effectuer sur le systme, il est donc important de nautoriser la connexion de cls que sur des sessions avec des droits limits, et de ne rserver les droits de ladministrateur quoccasionnellement, pour la maintenance du systme. Cette rgle de base est galement vraie, indpendamment des cls USB. Sous Windows, pour ouvrir loutil Comptes dutilisateurs, il faut ouvrir le Panneau de configuration partir du menu Dmarrer, puis slectionner Comptes dutilisateurs. La gestion des comptes et des droits associs seffectue partir de cette interface.

4.2

Dsactivation de la fonctionnalit autorun

Les cls U3 prote dune proprit offerte par les systmes dexploitation Windows, nomme autorun. Elle consiste excuter automatiquement un logiciel lorsquun priphrique de stockage qui le contient est connect. Microsoft autorise par dfaut cette fonction pour le priphriques de type CDROM/DVDROM, ou les disques xes. Cette fonctionnalit est visible, quand, par exemple, linsertion de certains CD, une fentre de navigation Internet Explorer, ou une application dinstallation souvre. Un priphrique USB classique ne permet pas, lors de son insertion dans une machine fonctionnant sous Windows, dexcuter automatiquement des programmes ou des commandes quil peut contenir. Dans lobjectif de faire excuter automatiquement du code au cours de linsertion dun priphrique USB, certains fabriquants de matriels USB ont dvelopp une astuce, qui consiste faire passer celui-ci auprs de Windows pour un CD ou/et un DVD. Cette technique existe, et cest elle qui est utilise par les produits USB U3. Le principe gnral est que le priphrique, au moment de linsertion, se prsente comme un lecteur de CDROM USB, permettant a fortiori lexcution dun autorun. La fonction autorun nest gnralement pas indispensable. Pour la dsactiver sous Windows, il suft de modier la cl suivante dans la base de registres : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom Pour la dsactivation de lautorun : Autorun = 0 pour lactivation de lautorun : Autorun = 1 Cela fonctionne sur les systmes Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP et Windows 2003.

4.3

Verrouillage des postes

An dviter des incidents lis linsertion de cls USB sur son systme, il est galement important de verrouiller son poste de travail : sous Windows, cela peut se rgler de manire automatique, aprs un manque dactivit de quelques minutes sur le systme (choisir Proprits aprs un clic droit sur le fond dcran), ou de manire ponctuelle (appuyer simultanment sur les touches Ctrl+Alt+Suppr ou Windows+L). Linsertion dun priphrique USB sous Windows ne provoque pas son installation quand lcran est verrouill. La partition peut tre cependant monte (automount) sous Linux malgr le verrouillage 2 .

4.4

Cls USB de conance : une cl par usage

Si une cl doit tre insre dans un systme critique, il est important de vrier son origine. Une solution serait de conserver une cl blanchie, rgulirement formate, et de rserver lusage de lUSB cette seule dernire (ajout de nouveaux matriels/priphriques interdits). En dautres termes, il faudrait considrer une cl par usage, voire interdire son dplacement hors des locaux lis son utilisation.

4.5

Bloquer la cl en criture

Certaines cls prsentent un interrupteur physique, qui permet de bloquer laccs en criture la cl. Il ne faut donc pas loublier. Si cela ne protge pas du vol dinformation, et donc des diffrentes problmatiques de condentialit, cela empche des lments extrieurs de modier le contenu de la cl, ou de leffacer linsu de lutilisateur.
2. Cette opration est par exemple visible avec lappel la fonction dmesg.

4.6

Nettoyer proprement le contenu de la cl

Les cls peuvent contenir des donnes sensibles. Avant de les prter ou de les abandonner, il est important de bien nettoyer leur espace de stockage, ou dassurer la condentialit de leur contenu. En fonction des impratifs et des rglementations, certaines oprations doivent tre conduites. 4.6.1 Mesures lmentaires

Il nest souvent pas sufsant de faire "supprimer" pour dtruire compltement toute trace dun document. Des rsidus peuvent subsister. Certains outils permettent de faire un nettoyage beaucoup plus complet. Sous Windows, il existe par exemple : eraser http://www.bugbrother.com/eraser BCWipe http://www.jetico.com/bcwipe.htm Sous Linux ou MacOS, il existe entre autres la commande shred (ShredIt sous Mac OS) ou lapplication : wipe http://wipe.sourceforge.net/ Il faut cependant bien vrier que tout lespace de stockage reste inaccessible. Certains outils se contentent deffacer des chiers, mais dautres temporaires peuvent encore subsister sur lespace de stockage (cas des documents bureautiques avec Microsoft Word par exemple). 4.6.2 Mesures spciques

Dans le cas de donnes plus sensibles, il existe des mesures plus efcaces que celles prcdentes. Elles peuvent sappuyer sur des mthodes de surcharge, de dmagntisation, etc. Enn, une dernire mesure consiste dtruire le support de stockage USB.

4.7

Chiffrement et intgrit

Nous naborderons pas ce point dans ce document, car les questions de chiffrement et dintgrit se posent pour tout support de stockage, mais il est bien entendu que si la solution de chiffrement ncessite une cl, celle-ci ne doit pas se trouver sur lappareil USB. De la mme manire, le rsultat du test dintgrit ne doit pas tre stock sur le mme support. Dautre part, les cls actuelles offrent comme contrle daccs lutilisation dun mot de passe pour accder aux fonctionnalits U3. Cest une premire protection contre le vol, mais il faut garder lesprit que : si le mot de passe est frapp depuis une machine compromise (contenant une capture de frappe au clavier), ce dernier est rcuprable. Or le CERTA observe dans le cadre de traitements dincidents que de tels outils malveillants sont frquemment installs. le mot de passe est stock sur le support amovible. Il peut donc tre rcupr, sous une certaine forme, avec le reste des informations contenues (cf. le chapitre 3.1). Des tentatives de rcupration par tests exhautifs reste possible, sans disposer de la cl en permanence.

Conclusions

Les priphriques de stockage USB offrent beaucoup davantages. Outre leur capacit importante, ils tendent actuellement leur champ daction pour offrir lutilisateur des applications et des fonctionnalits multiples. Cependant, ces mmes technologies peuvent galement tre utilises mauvais escient pour excuter des actions malveillantes sur le systme. A contrario, un systme malveillant peut tirer prot de la qualit et la quantit des informations contenues sur ces supports, pour en drober tout ou partie. Il est important de considrer tout cela, pour un usage appropri de ces priphriques. Certaines mesures doivent tre prises, selon le contexte, pour garantir un niveau de scurit minimal. Etant donn lusage rpandu de ces appareils, un effort de sensibilisation est galement ncessaire.

Documentation
Caractristiques de lUSB U3 : http://www.u3.com Comment dsactiver la fonction autorun sur une machine Windows : http://support.microsoft.com/kb/q155217 Site du standard USB : http://www.usb.org Documentation en franais sur le fonctionnement de lUSB, par B. Acquier : http://acquier.developpez.com/cours/USB/ Cours de Suplec par J. Weiss, "Le protocole USB : http://www.rennes.supelec.fr/ren//elec/docs/usb/usb.html

Gestion dtaille du document

09 novembre 2006 version initiale. 14 novembre 2006 corrections sur la forme.