IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Linux : un outil de fuzzing révèle un paquet de vulnérabilités du sous-système USB


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 247
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 247
    Points : 38 209
    Points
    38 209
    Par défaut Linux : un outil de fuzzing révèle un paquet de vulnérabilités du sous-système USB
    Linux : un outil de fuzzing révèle un paquet de vulnérabilités du sous-système USB
    Des raisons de s’inquiéter ?

    Les pilotes USB inclus dans le noyau Linux sont bondés de failles de sécurité si l’on s’en tient aux résultats des recherches d’un expert en sécurité employé par une des grosses enseignes de l’IT. Andrey Konovalov de Google en a dressé une liste de 14 dans un billet de blog destiné à la communauté Linux. « Elles peuvent toutes être exploitées à l’aide d’une clé USB spécialement conçue si l’attaquant a un accès physique à l’ordinateur », a-t-il déclaré.

    D’après des informations qui ressortent d’un dépôt en ligne de notoriété désormais bien établie, les 14 vulnérabilités font en réalité partie d’une liste plus longue de 79 entrées. D’après les développements de Konovalov, il s’agit de vulnérabilités non encore rapportées à la communauté et comme on peut s'en douter, sans correctifs. Il s’agit pour la plupart de failles qui peuvent permettre de lancer des attaques par déni de service sur le système d’exploitation. À noter cependant que certaines ouvrent la porte à des privilèges qui permettent l’exécution de code malicieux. L’expert en sécurité a mis syzkaller à profit. Il s’agit d’un outil de fuzzing développé par Google pour dénicher des failles de sécurité.

    Alors, des raisons de s’inquiéter ? Non, lanceront à coup sûr la plupart des personnes à qui la question sera adressée. Et pour cause comme on peut le relever une nouvelle fois, l’exploitation desdites failles requiert que l’attaquant ait un accès à l’ordinateur cible et qu’il connecte une clé USB. Le problème est donc, semble-t-il, ailleurs et a plus à voir avec la sécurisation des accès à ses connecteurs USB. C’est bien le cas de le souligner puisque les révélations de l’employé de Google à propos des failles de l’USB ne sont pas un cas isolé.

    « Le haut niveau de privilèges dont bénéficient les pilotes USB en fait une cible de choix », ont écrit les auteurs d’une publication de recherche présentée lors de la 11e conférence USENIX sur les systèmes de sécurité du 14 au 15 août dernier. Cette publication met en lumière les liens entre l’adoption massive des dispositifs munis d’interfaces USB et la qualité du point de vue sécurité des pilotes du sous-système Linux. Merci au fuzzing (apprécié par Linus Torvalds lui-même) qui vient révéler que les tares liées aux tests desdits pilotes durant leur phase de développement. Du pain sur la planche donc pour la communauté.

    Sources

    openwall

    POTUS (publication USENIX)

    Votre avis

    Que pensez-vous des trouvailles de l’expert sécurité de Google ?

    Voir aussi

    la rubrique sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 365
    Points
    9 365
    Par défaut
    Je m'inquiète moi au contraire...
    Même s'il faut un accès à la machine cela veut dire qu'il suffit de brancher une clé USB sur un ordinateur verrouillé pour en prendre le contrôle.

    On aurait eu une faille qui dit qu'en appuyant sur une série de touche du clavier on lancer une session admin que les gens l'auraient pris plus au sérieux...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Membre expérimenté
    Profil pro
    Ingénieur système Linux N3
    Inscrit en
    juillet 2008
    Messages
    399
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur système Linux N3

    Informations forums :
    Inscription : juillet 2008
    Messages : 399
    Points : 1 361
    Points
    1 361
    Par défaut Pêche à la dynamite
    Réveille-toi, il y a des failles dans Linux !
    Hein, quoi ?
    C'est sur les pilotes USB !
    Ah, il faut un accès physique... Laisse, ça ne sera jamais pire qu'avec un tournevis ou le câble d'alimentation.

  4. #4
    Membre actif
    Avatar de friendofweb
    Homme Profil pro
    Amateur en informatique
    Inscrit en
    mai 2015
    Messages
    153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Amateur en informatique
    Secteur : Santé

    Informations forums :
    Inscription : mai 2015
    Messages : 153
    Points : 243
    Points
    243
    Par défaut
    Bonsoir,

    Merci pour cette discussion intéressante. Ce qui impliquerait donc, que l'on autorise seulement l'admin de démarrer la machine via le port usb en désactivant le boot usb et en "protégeant" l'accès au bios par mot de passe...
    N'oubliez pas la documentation... - Initiation à HTML5 - Tutos CSS

  5. #5
    Expert éminent sénior Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    4 775
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : septembre 2005
    Messages : 4 775
    Points : 12 002
    Points
    12 002
    Par défaut
    Bonjour

    La machine est démarrée et elle est sous Linux. Sinon, ce n'est pas une faille Linux.
    Cette réponse vous apporte quelque chose ? Cliquez sur en bas à droite du message.

Discussions similaires

  1. Réponses: 8
    Dernier message: 03/12/2015, 15h41
  2. [Article] Éventail des différents outils de Fuzzing
    Par Neckara dans le forum Sécurité
    Réponses: 3
    Dernier message: 24/08/2013, 22h07
  3. Tutoriel: Éventail des différents outils de fuzzing
    Par Jean-Philippe Dubé dans le forum Sécurité
    Réponses: 3
    Dernier message: 04/03/2009, 11h35
  4. Réponses: 3
    Dernier message: 07/04/2008, 14h21
  5. [UML][Java][Linux][gratuit] outil de modelisation
    Par TabrisLeFol dans le forum Outils
    Réponses: 12
    Dernier message: 12/04/2006, 09h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo