Vous vous souvenez de BadUSB ? Mais siiii, c'est ce truc dévoilé en 2014 à la Black Hat qui avait foutu la trouille à tout le monde. Ça montrait qu'un simple périphérique USB pouvait se faire passer pour un clavier et balancer des commandes à votre place. Hé bien depuis, les attaques se sont bien raffinées et c'est pourquoi un dev vient de proposer un module kernel Linux capable de détecter ces saloperies.

Enfin !

Ce module s'appelle hid-omg-detect et c'est signé Zubeyr Almaho. Le patch (déjà en v2) a été soumis le 4 avril dernier sur la LKML. Alors je pense que vous allez vous dire que c'est encore un truc qui va bloquer par défaut vos périphériques USB sauf que non, ça ne bloque rien. En fait, il surveille passivement les périphériques HID (claviers, souris...) et leur attribue un score de suspicion basé sur trois critères.

D'abord, l'entropie des frappes clavier. Un humain tape de manière irrégulière, avec des pauses, des hésitations, des fautes (perso je fais au moins 3 fautes de frappe par phrase ^^). Un câble trafiqué, lui, balance ses commandes avec une régularité de métronome, genre 500 caractères en 2 secondes sans une seule erreur. Ensuite, y'a la latence entre le branchement et la première frappe. Si votre "clavier" commence à taper immédiatement après avoir été branché... y'a comme un souci. Et enfin, le fingerprinting des descripteurs USB pour repérer les vendor/product IDs suspects ou les anomalies dans les descripteurs HID.

Pas con hein ? Et si le score dépasse un certain seuil (configurable), hop, le module balance un warning dans dmesg et vous oriente vers USBGuard pour bloquer le périphérique. Parce que hid-omg-detect ne touche à rien lui-même. Il sonne juste l'alarme, et c'est à vous d'agir !

Mais alors pourquoi lancer ça maintenant ?

Hé bien parce que les outils d'attaque USB sont devenus légion ! Les câbles O.MG (créés par le chercheur MG et distribués via Hak5), par exemple, ça ressemble à un câble USB lambda que vous emprunteriez sans réfléchir pour charger votre téléphone. Sauf que dedans y'a un implant WiFi capable d'injecter des frappes, de les logger, de spoofer les identifiants USB, le tout contrôlable à distance. Quand je pense qu'il y a quelques mois, des chercheurs montraient qu'une simple webcam Lenovo pouvait être transformée en dispositif BadUSB ... Sa fé grav réchéflir 🤓 comme dirait les citoyens souverains ^^.

Maintenant, en attendant que le patch soit accepté, vous n'êtes pas totalement démunis non plus. Des outils comme USBRip (un script Python, pip3 install usbrip) permettent déjà de tracer les connexions et déconnexions USB en parsant /var/log/syslog. Y'a pas ce scoring d'anomalies, mais au moins vous avez un historique pour savoir qui a branché quoi et quand. Et si vous êtes vraiment parano (et franchement, vous avez raison de l'être), USBGuard peut carrément whitelister vos périphériques de confiance et bloquer tout le reste. Mais le problème d'une telle solution c'est que ça demande de maintenir une liste blanche à jour, ce qui n'est pas toujours pratique quand on branche 15 trucs par jour.

On verra si les mainteneurs du kernel l'accepte... Après ça ne protégera pas contre tous les scénarios non plus. Un périphérique qui attend 30 secondes avant de commencer son injection pourrait passer sous le radar. Et si un attaquant injecte du jitter aléatoire dans ses frappes pour simuler un humain, là ce sera plus compliqué. Mais combiné avec USBGuard, ça donnera enfin une vraie ligne de défense native contre les attaques par périphériques USB piégés . Et c'est quand même mieux que de boucher ses ports au plâtre et ciment (Mais pleure pas au dessus du mortier...) !

Bref, va falloir garder un œil là-dessus.

Source

Le canton de Bâle-Ville a suspendu son projet pilote de vote électronique après qu'une clé USB défectueuse a empêché le déchiffrement de 2 048 bulletins lors des votations fédérales du 8 mars. Une enquête pénale est ouverte.

Trois clés USB, zéro résultat

Le soir du 7 mars, veille du scrutin, la chancellerie du canton de Bâle-Ville a annoncé un problème technique sur son système de vote électronique. Le lendemain, 2 048 votes restaient bloqués dans l'urne numérique.

Le porte-parole du canton, Marco Greiner, a expliqué que trois clés USB contenant les codes de déchiffrement avaient été utilisées, toutes avec le bon code, mais qu'aucune n'avait fonctionné. Les experts de La Poste suisse et la police de Bâle n'ont pas réussi à récupérer les données.

Le problème ne vient pas du système de La Poste, mais du service informatique cantonal. Les votes concernés sont ceux d'environ 10 300 Suisses de l'étranger et de 30 personnes en situation de handicap, qui sont les seuls autorisés à voter par voie électronique dans ce canton.

Quatre objets fédéraux étaient soumis au vote ce jour-là, dont l'initiative sur le maintien du cash et celle sur le fonds climat.

Un projet suspendu et une enquête pénale ouverte

Bâle-Ville a suspendu le vote électronique jusqu'à fin décembre 2026 et commandé une analyse externe. Le ministère public a ouvert une procédure pénale pour suspicion de manipulation électorale, et l'unité "criminalité numérique" a trouvé des indices allant dans ce sens. Les résultats définitifs du canton ne seront confirmés que le 21 mars.

Les 2 048 bulletins perdus n'auraient pas changé l'issue des votations fédérales. Mais le précédent est gênant. En 2015, la loi sur la radio et la télévision avait été adoptée avec seulement 3 649 voix d'écart. En 2017, le financement complémentaire de l'AVS était passé à 2 361 voix près.

Avec des marges aussi serrées, 2 048 votes qui disparaissent, ça pose quand même un vrai problème. Les trois autres cantons pilotes (Thurgovie, Grisons et Saint-Gall) n'ont pas été touchés.

La Suisse avait déjà abandonné un premier système de vote électronique en 2019 après la découverte de failles de sécurité dans le code source. Et voilà que le deuxième essai trébuche sur une clé USB. Le politologue Michael Hermann résume bien la situation : cette panne fait reculer le vote électronique de plusieurs années.

On peut comprendre l'idée de dématérialiser le vote pour les Suisses de l'étranger, c'est même assez logique. Mais quand le maillon faible du système, c'est un bout de plastique avec une puce dedans, on se demande quand même si la bonne vieille enveloppe n'avait pas quelques avantages. Et oui, je sais que ce « 2048 » vous fait clairement tiquer comme chiffre, moi aussi, pas de doute, on est des vrais nerds.

Source : Swiss Info