Evitez d’acheter ces clés USB sécurisées : elles ont des failles de sécurité !

Certaines clés USB dites sécurisées ne le sont finalement pas tant que ça... Un chercheur en sécurité s'est amusé à analyser le fonctionnement de ces périphériques, et certains modèles sont loin d'être irréprochables. Faisons le point.

Sur le marché des clés USB, il y a les modèles classiques que l'on connaît tous et des modèles plus évoqués, dits sécurisés, qui mettent en avant l'aspect confidentialité et la protection des données. Par exemple, certains modèles intègrent un clavier qui permet de protéger l'accès aux données par un code, ce dernier permettant de déverrouiller le lecteur. Pour protéger les données, c'est généralement un chiffrement matériel robuste de type AES 256 bits qui est utilisé, de quoi rassurer l'utilisateur. Dans certains cas, la réalité est différente.

Le chercheur en sécurité Matthias Deeg, de la société SySS, a travaillé pendant plusieurs mois sur ces clés USB sécurisées afin d'évaluer la qualité de la protection. Pour trois modèles, les résultats ne sont pas rassurants : Verbatim Keypad Secure, Verbatim Executive Fingerprint Secure et Lepin EP-KP001.

Verbatim Keypad Secure : quelques secondes suffisent !

Le premier modèle, à savoir la clé Verbatim Keypad Secure, intègre un clavier pour entre le code qui permet de déverrouiller le lecteur. Sans ce code, il n'est pas possible, en théorie, d'accéder aux données. Par ailleurs, Verbatim précise sur son site : « S’il tombe entre de mauvaises mains, l’appareil se verrouillera et nécessitera un reformatage après 20 tentatives de saisie de mot de passe infructueuses ». Sauf que, visiblement c'est faux ! Le verrouillage automatique ne semble pas implémenté !

Autre problème, le disque SSD au format M2 qui est intégré à la clé USB peut être extrait facilement : il suffit de retirer quelques vis, ce qui permet à un cybercriminel de connecter le disque sur une machine et de réaliser une attaque par brute force afin de trouver le code de déverrouillage. Malgré tout, une attaque par brute force peut être longue, très longue ! Sauf que dans le cas de ce modèle, il s'avère que c'est très simple : Matthias Deeg a analysé le firmware de la clé, et il a pu écrire un programme qui trouve le code en quelques secondes !

Verbatim Executive Fingerprint Secure et Lepin EP-KP001

Quant au modèle Verbatim Executive Fingerprint Secure, il est doté d'un lecteur d'empreinte qui sert à déverrouiller le lecteur. Pour gérer ce lecteur d'empreinte intégré à la clé, il faut installer un logiciel sur le PC. Il s'avère que la clé USB (ou disque USB si vous préférez) communique le mot de passe administrateur au logiciel lors de la connexion. Un sérieux problème de sécurité, et là encore, le chercheur en sécurité a pu développer un programme qui sert à intercepter le code administrateur dans le but d'accéder ensuite aux données de la clé !

Terminons par le modèle Lepin EP-KP001, équipé d'un clavier à code. Premier constat : les données ne sont pas chiffrées en AES 256 bits contrairement à ce qui est indiqué par le fabricant. En fait, c'est un microcontrôleur qui verrouille l'accès aux données. Malgré tout, ce n'est pas un jeu d'enfant pour contourner la restriction, car il faut dessouder le microcontrôleur de la clé USB et le remplacer par un autre microcontrôleur identique, provenant d'une clé dont on connaît le mot de passe. Ainsi, la clé hérite du mot de passe que vous connaissez !

L'achat de ces modèles est vivement déconseillé ! À ce jour, il n'existe pas de correctif. Sans oublier que d'après SySS, il y a deux autres modèles chez Verbatim qui sont vulnérables : "Store ‘n’ Go Secure Portable HDD" et "Fingerprint Secure Portable Hard Drive". Mauvaises nouvelles pour Verbatim...

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3945 posts and counting.See all posts by florian

One thought on “Evitez d’acheter ces clés USB sécurisées : elles ont des failles de sécurité !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.