Périphériques et failles de sécurité - JitterBug

Le par  |  3 commentaire(s)
spy (Small)

Faille de sécurité via des périphériques C'est en tout cas ce que pensent les chercheurs de l'Université de Pennsylvanie, aux Etats-Unis.

Faille de sécurité via des périphériques

C'est en tout cas ce que pensent les chercheurs de l'Université de Pennsylvanie, aux Etats-Unis. En ayant recours à un appareil appelé JitterBug, ils ont découvert qu'un pirate informatique avait la possibilité physique de s'emparer de périphériques et de les parasiter en créant un processus difficilement détectable dans le but de voler des données.

Spy small


Démonstration
Pour les besoins de leur démonstration, les chercheurs ont bricolé un vrai JitterBug destiné à un périphérique du type clavier. Evidemment, un accès physique au périphérique est le minimum requis pour ce genre d'opération : ce qui équivaudrait à se replonger dans les James Bond du temps de la guerre froide, avec une taupe plaçant un appareil qui intercepterait les données qui transitent entre périphérique d'entrée et unité centrale. A la rigueur, les "espions" pourraient fabriquer une copie conforme de modèles de périphériques existants afin de les substituer aux vrais périphériques...

000000035737.jpg

A la différence des appareils qui mémorisent toutes les touches tapées, il ne faut pas aller récupérer le JitterBug pour pouvoir lire les données. En effet, l'appareil peut utiliser n'importe quelle application réseau, tel que l'e-mail ou une messagerie instantanée pour transmettre les données. Plus petits, utilisant donc moins d'espace de stockage, mais plus "intelligents": ils peuvent être programmés pour n'enregistrer qu'une partie des événements, ou copier des données dans un laps de temps prédéfini. Par exemple, un JitterBug qui ne se déclencherait que lorsque l'utilisateur tape son identifiant : on peut supposer que la suite contiendra son mot de passe.

Dare dare motus small

Et bien qu'il n'y ait pas de preuve que quelqu'un ait déjà utilisé ce type d'espion, la facilité avec laquelle ce genre de procédé peut être mis sur pied tend à confirmer la banalité de son usage. Certains logiciels et autres keyloggers permettent déjà, dans une certaine mesure, de surveiller les activités d'autres utilisateurs sur le PC. Le scénario catastrophe, c'est un fabricant de périphériques qui inonde le marché avec des appareils JitterBuggués.

D'après les chercheurs toujours, une solution existe : la cryptographie. Jusqu'à ce que les pirates trouvent une nouvelle parade... Et que pense Sam Fisher de tout ceci '

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #125108
C'est vrai que transmettre les données du clavier/scanner de manière cryptée avec un système clé publique/clé privée sur le pc et le clavier permettrait de se prémunir de pas mal de choses
Le #125118
Je@nb:

Eh oui, que voulez-vous, c'est une menace bien réélle. Mais pour ça, on ne peut strictement rien y faire. Quoique... faire une marque personnelle invisible sur son matériel ou le mettre sous video-surveillance
Le #125134
Et là je me dis : ouf ! Un problème qui ne me concerne pas !
Mais il est certain que dans un usage professionnel, avec des données sensibles, c'est possible. Dans ce cas, rien ne vaut une bonne clef.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]