robu_s - Fotolia
Bientôt l’authentification des périphériques USB-C
Une nouvelle spécification, basée sur la cryptographie, devra permettre aux hôtes de vérifier l’authenticité d’un périphérique ou d’un chargeur USB. De quoi protéger contre certaines attaques et certains matériels peu sûrs.
Le groupe de promotion de l’USB 3.0 vient d’annoncer une spécification pour l’authentification des appareils connectés à un port USB type C. Dans un communiqué de presse, le groupe explique que « avec ce protocole, les systèmes hôtes pourront confirmer l’authentification d’un périphérique ou d’un chargeur USB, dont certains aspects produits comme la description et les capacités, ainsi que le statut de certification ». Ce contrôle doit survenir au moment du branchement, avant donc échange de données ou alimentation électrique.
Cette authentification doit permettre aux hôtes de se protéger des chargeurs USB non conformes ainsi que des « risques intégrés avec malveillance, par logiciel ou matériel, dans des périphériques USB cherchant à exploiter une connexion USB ». Il devra être possible de déclarer, sur les hôtes, des règles interdisant par exemple la connexion de dispositifs de stockage externes non certifiés.
Pas question, toutefois, de placer les exigences trop haut, au risque d’induire des surcoûts dissuasifs : l’authentification USB-C s’appuiera « sur des moyens cryptographiques sur 128 bits ».
En 2014, des chercheurs en sécurité ont démontré qu’il est possible d’infecter n’importe quel périphérique USB avec des logiciels malveillants d’une discrétion redoutable, en s’appuyant sur les microcontrôleurs produits par le Taïwanais Phison et en modifiant leur firmware : la célèbre menace dite de BadUSB.
Des câbles USB type C de mauvaise facture ont provoqué des dégâts sur certaines machines. Benson Leung, chez Google, s’est engagé dans une véritable croisade contre ces câbles.
Surtout, il s’avère que personne ne semble très prudent avec des clés USB trouvées par hasard. Des chercheurs ont ainsi récemment montré que 98 % des clés USB abandonnées volontairement dans un lieu public sont récupérées ; au 45 % sont en outre connectées à un ordinateur. La première connexion a lieu en l’espace de 6 minutes.