Skip to main content

Vos ports USB peuvent présenter de sérieuses failles de sécurité - en particulier sous Linux

Faille sécurité USB
(Crédit photo: Honeywell)

Des universitaires suisses et américains viennent de mettre en évidence 26 failles de sécurité jamais identifiées auparavant et présentes dans les pilotes des ports USB utilisée par de nombreux systèmes d'exploitation. Dont Linux, macOS, Windows et FreeBSD.

Les chercheurs en cybersécurité Hui Peng (Université de Purdue) et Mathias Payer (École Polytechnique fédérale de Lausanne) ont créé un nouvel outil de détection appelé USBFuzz, à l’origine de cette découverte. Le fuzzing consiste à placer ou à injecter délibérément des données déformées dans une application ou un programme spécifique. Si le logiciel ne parvient pas à traiter correctement les données inattendues, les développeurs peuvent alors identifier les faiblesses potentielles en matière de sécurité et les corriger avant que les utilisateurs ne soient mis en danger.

Linux sérieusement impacté

Après avoir finalisé USBFuzz, les deux chercheurs ont testé l'outil sur neuf versions récentes du noyau Linux (v4.14.81, v4.15, v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2 et v4.20-rc2), ainsi que sur FreeBSD12, macOS 10.15, Windows 8 et 10.

À la suite de ces tests, ils ont découvert une vulnérabilité majeure sous FreeBSD, trois sous macOS et quatre sous Windows 8 et Windows 10. Cependant, sur les 26 nouvelles failles recensées, 18 ont été répertoriées sous Linux. 16 d’entre elles affectent très gravement la mémoire vive dans un certain nombre de sous-systèmes Linux, une autre brèche a été localisée dans le pilote du contrôleur hôte USB de Linux et la dernière se dissimulait derrière un pilote de caméra USB.

Depuis, Peng et Payer ont signalé ces failles à l'équipe du noyau Linux et ont également soumis leurs projets de correctifs pour accélérer leur déploiement. 11 vulnérabilités Linux sont désormais définitivement éliminées. D'autres patchs devraient être publiés prochainement pour écarter les anomalies restantes.

Les chercheurs prévoient également de mettre à disposition USBFuzz sur GitHub, afin que tout développeur puisse utiliser l’outil en open-source.

Via ZDNet