Aller au contenu

Les attaques HID

Cet article à pour thème les attaques HID, vous explique ce que c’est, pourquoi c’est dangereux et comment on peut se défendre face à ce type d’attaques.

C’est quoi le HID ?

HID (human interface device) ou encore interface homme-machine, c’est un standard pour la communication des périphériques comme les souris ou les claviers, afin d’en faciliter le branchement et l’utilisation.

C’est quoi une attaque HID ?

Un attaque HID consiste à utiliser le protocole USB-HID pour faire croire à l’ordinateur que le périphérique que l’on à branché est bel et bien un clavier. 

Pourquoi c’est dangereux ?

Ce type d’attaque est très dangereux car à partir du moment où l’ordinateur possède les droits administrateurs, et qu’il n’est pas verrouillé par un mot de passe, il est possible de faire tout et n’importe quoi sur la machine. L’ordinateur n’est pas très intelligent, en effet si un utilisateur utilise un clavier ou une souris, il obéit peu importe ce que l’utilisateur a prévu de lui faire faire. 

Comment ça marche ?

Le principe de fonctionnement de cette attaque est en réalité très simple à comprendre et à mettre en place. Il existe plusieurs solutions pour faire ce genre d’attaques. La plus répandue est de brancher donc un périphérique USB dans un port de l’ordinateur, en général sous la forme d’une clé USB inoffensive, mais qui en réalité se comporte comme un clavier dès qu’elle est branchée.

Il existe des périphériques à bas prix que l’on peut trouver sur des sites Chinoix type Alibaba ou Aliexpress, qui pour seulement quelques euros peuvent vous proposer ce que l’on appelle des “Bad USB”. Ce sont en réalité de petits contrôleurs Arduino Leonardo, avec un slot pour une micro SD qui permet de pouvoir stocker vos scripts. L’autre solution est plus chère mais également plus performante, l’entreprise Hak5 propose toute sorte de matériel pour les pen-testers dont la USB Rubber Ducky. Cette clé USB reprend exactement le concept des BadUSB en le poussant un peu plus loin. En effet les Badusb conventionnelles fonctionnent en langage Arduino, qui n’est pas facile à prendre en main pour les non initiés et qui nécessite pas mal de recherche et de travail pour les faire fonctionner.

La Rubber Ducky utilise une firmware propriétaire et utilise le langage Ducky Script. La programmation est beaucoup plus aisée et rend les phases de test beaucoup plus rapides et agréables, de plus ce matériel à un micro-processeur beaucoup plus rapide et un boîtier discret qui fait réellement penser aux clés USB promotionnelles.

Que peut-on faire avec une Bad USB ?

Il est possible de faire tout et n’importe quoi avec ce genre d’attaque, et elles ne laissent en général pas de traces si elles sont bien exécutées. Il est possible de faire tomber le pare-feu Windows, de désactiver Defender, télécharger un programme malicieux depuis le net, changer des clés de registres pour installer une backdoor, faire du recon et du scan et réseau et envoyer un mail avec toutes les informations de l’ordinateurs et les fichiers qu’il contient etc. Les possibilités sont infinies, il suffit de prendre suffisamment de temps pour configurer son script pour que tout fonctionne correctement. 

Comment se protéger de ces attaques ?

Pour se protéger de ces attaques il n’y à pas de solution miracle, il faut juste du bon sens. Il faut bien faire attention à ce que personne ne branche de périphérique USB à sa machine, toujours faire attention à si vous trouvez une clé USB par terre sur le parking de votre société, dans le doute donnez la à votre informaticien pour qu’il vérifie que ce soit bien une clé USB. Et pour finir on ne peut rien vous faire (directement avec cette technique du moins), si votre ordinateur est verrouillé. Je ne le dirais jamais assez :

VERROUILLEZ VOTRE POSTE QUAND VOUS LE LAISSEZ SANS SURVEILLANCE