robu_s - Fotolia

L’authentification des périphériques USB-C va enfin se mettre en place

Le programme correspondant vient d’être lancé. Près de trois ans après son annonce. Mais combien encore avant sa généralisation ?

Ils se sont enfin mis d’accord. Les membres du forum pour l’implémentation de l’USB (USB-IF) viennent d’annoncer le lancement de leur programme d’authentification des périphériques USB. L’idée en avait été évoquée au printemps 2016.

Cette authentification doit permettre aux hôtes de se protéger des chargeurs USB non conformes ainsi que des « risques intégrés avec malveillance, par logiciel ou matériel, dans des périphériques USB cherchant à exploiter une connexion USB ». Il devra être possible de déclarer, sur les hôtes, des règles interdisant par exemple la connexion de dispositifs de stockage externes non certifiés.

L’idée n’a pas changé depuis deux ans et demi : il s’agit d’authentifier chargeurs, appareils, câbles et sources d’énergie, toujours sans placer trop haut les exigences, probablement afin d’éviter des surcoûts rédhibitoires : ce sont des moyens cryptographiques sur 128 bits qui sont utilisés. DigiCert se chargera de la gestion des services d’infrastructure de clé publique (PKI) et de validation des certificats d’authentification des équipements USB-C.

En 2014, des chercheurs en sécurité ont démontré qu’il est possible d’infecter n’importe quel périphérique USB avec des logiciels malveillants d’une discrétion redoutable, en s’appuyant sur les microcontrôleurs produits par le Taïwanais Phison et en modifiant leur firmware : la célèbre menace dite de BadUSB.

Des câbles USB type C de mauvaise facture ont provoqué des dégâts sur certaines machines. Benson Leung, chez Google, s’est engagé dans une véritable croisade contre ces câbles.

Surtout, il s’avère que personne ne semble très prudent avec des clés USB trouvées par hasard. Des chercheurs ont ainsi récemment montré que 98 % des clés USB abandonnées volontairement dans un lieu public sont récupérées ; 45 % sont en outre connectées à un ordinateur. La première connexion a lieu en l’espace de 6 minutes. Ce n’est donc pas pour rien que plusieurs acteurs se sont lancés dans les nettoyeurs de clés USB.

Mais voilà. Le programme d’authentification USB-C est optionnel. Son efficacité dépendra ainsi en grande partie de son adoption. Ainsi que de l’utilisation des règles que son implémentation logicielle sur les terminaux permettra de mettre en place.

Pour approfondir sur Protection du terminal et EDR

Close