Logitech : quatre vulnérabilités dans les dongles Unifying

Marcus Mengs, un chercheur en sécurité a dévoilé publiquement quatre vulnérabilités qui touchent les dongles USB "Unifying" de chez Logitech. Ces vulnérabilités sont les suivantes : CVE-2019-13052, CVE-2019-13053, CVE-2019-13054 et CVE-2019-13055.

Ce n'est pas une bonne nouvelle, car cela concerne différents types d'appareils, les dongles USB, comme l'Unifying, étant très répandu. Les claviers, souris et télécommandes de présentation Logitech sont touchés.

L'utilisation étant sans-fil, exploiter ces vulnérabilités permet à l'attaquant de capturer le trafic du clavier, mais aussi de réaliser une saisie à votre insu. Le clavier n'a pas besoin d'être actif... Il suffit que le dongle soit branché à votre PC.

Même si le chiffrement est actif ou qu'il y a des protections complémentaires en place, les vulnérabilités permettent de les contourner. La clé de chiffrement est récupérable par l'attaquant, ce qui lui ouvre la porte ensuite...

Pour reconnaître un dongle Logitech Unifying c'est facile (le logo étoile permet de le reconnaître) :

Mais doucement, n'allez pas jeter votre clavier ou votre souris Logitech ! Pour deux raisons :

- L'attaque initiale nécessite un accès physique au clavier pour appuyer sur une série de touches

- L'éditeur a publié une mise à jour firmware pour les claviers et les souris les plus récents

Pour procéder à la mise à jour :

À l'aide de Unifying Software, vous pouvez obtenir la version utilisée actuellement par votre périphérique. Ensuite, sur le site Logitech recherchez l'outil de mise à jour du firmware pour votre matériel, avec les mots clés "Logitech Firmware Updating Tool" 😉

Télécharger Unifying Software

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 1965 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.