Passer au contenu

Une clé USB pirate suffit à voler vos identifiants Windows ou macOS

Un hacker a réussi à simuler un réseau local avec une clé USB programmable. L’ordinateur, n’y voyant que du feu, envoie automatiquement des requêtes de connexion avec identifiants, même s’il est verrouillé.

Les responsables sécurité en entreprise risquent d’avoir quelques sueurs froides. Le chercheur en sécurité Rob Fuller vient de démontrer un hack d’une redoutable efficacité. Supposons qu’un utilisateur s’absente de son poste, après avoir verrouillé son ordinateur. Il suffit alors de brancher sur cette machine une clé USB pour récupérer – en l’espace d’une quinzaine de secondes – les identifiants de cet utilisateur. A savoir son login et son mot de passe sous forme hachée. Ce « hash » peut ensuite être utilisé directement dans des attaques de type « pass the hash » pour accéder à d’autres parties du réseau. Le pirate peut également essayer de casser le hash pour retrouver le mot de passe en clair, ce qui est loin d’être impossible.  

Evidemment, Rob Fuller n’a pas pris une clé USB quelconque pour faire ce hack, mais s’est appuyé sur un dispositif programmable sous Linux tel que LAN Turtle ou USB Armory.  L’idée est ensuite de la modifier de telle manière que l’ordinateur ait l’impression qu’il s’agit d’un adaptateur USB Ethernet connecté à un véritable réseau local. Pour ce faire, le hacker a embarqué sur sa clé un serveur DHCP, qui se charge d’allouer une adresse IP à la machine, ainsi qu’un logiciel baptisé Responder, qui va simuler un serveur d’authentification. Une fois connecté, l’ordinateur va automatiquement envoyer des requêtes de connexion incorporant lesdits identifiants.

 « Pourquoi est-ce que ça marche ? Parce que la technologie USB est plug and play. Ce qui veut dire que même lorsqu’un ordinateur est verrouillé, l’appareil est quand même installé », explique  Rob Fuller dans une note de blog, avant d’ajouter : «  Les ordinateurs créent du trafic réseau en permanence, même si aucun navigateur ou une autre application n’est utilisé. Et la plupart des ordinateurs font confiance à leur réseau local. » Par ailleurs, comme la clé simule un réseau fixe plutôt rapide en temps de réponse, elle remplacera automatiquement la connexion préexistante, qu’elle soit filaire ou non. Rob Fuller a testé son attaque sur Windows 98 SE, Windows 2000 SP4, Windows XP SP3, Windows 7 SP1 et Windows 10 (Enterprise et Home). Elle a également fonctionné sur macOS El Capitan/Mavericks.

En tous cas, ce truc ingénieux semble faire sensation dans le monde des hackers. Le site de vente de LAN Turtle est en train de renouveler son stock en raison d’une demande croissante pour ce type d’outil. Une hausse de la demande directement liée à la découverte de cette attaque. Comment se protéger ? Rob Fuller ne donne aucune indication sur ce point. La désactivation des ports USB semble être pour l’instant la seule parade.   

Source:

Note de blog de Rob Fuller

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN