Chez Verbatim, des pseudos clés USB « sécurisées » truffées de failles

Matthias Deeg, expert en sécurité informatique de SySS, a trouvé plusieurs failles de sécurité dans différents produits Verbatim dans le cadre d'un projet de recherche sur les supports de données mobiles sécurisés et cryptés.

Dans cet article, je vous présente Verbatim que vous connaissez sans doute déjà, le célèbre fabricant de solution de stockage. Mais ici, je ne vais pas vous parler de CD-DVD(RW) à l'ancienne, mais de leurs clés USB sécurisées qui sont tout, sauf sécurisées. En plus d’être truffées de failles de sécurité.

C’est un certain Matthias Deeg, expert en sécurité informatique chez SySS (une entreprise de sécurité informatique basée en Allemagne) qui a découvert de nombreuses vulnérabilités sur des modèles de clés USB Verbatim censées sécuriser les données, et les chiffrer.

Le chercheur en sécurité a testé 4 modèles de clés USB, les résultats sont non seulement édifiants, mais aussi et surtout scandaleux pour les personnes et/ou entreprises qui manipulent des données sensibles et qui pensent (à tort) utiliser un produit sécurisé. Les modèles testés sont les suivants :

Le premier appareil testé est le modèle Verbatim Keypad Secure, le nom prête quand même à sourire (mais pas trop) au vu des découvertes.

Lors de ses pentest, ce dernier a trouvé deux failles critiques permettant à un attaquant qui obtient un accès physique à un disque dur mobile ou à une clé USB parmi ces modèles d'accéder de manière non autorisée aux données protégées en texte clair. Il en a même fait quelques vidéos de démonstration.

D’autres vulnérabilités ont également été découvertes, dont une particulièrement grave dans la mesure où une clé USB qui tomberait dans de mauvaises mains pourrait être piratée rien qu’en retirant la carte de stockage et en l’insérant dans un autre dispositif du même modèle puis en passant par le logiciel maison distribué par Verbatim. En effet, il suffit de retirer deux vis afin d’accéder au support de stockage SSD au format M.2 puis de l’insérer dans une autre clé USB et ainsi procéder à des attaques de force brute. Ce procédé peut s’avérer être long selon la puissance de calcul du pirate.

Le chercheur a donc analysé le firmware de ladite clé afin d’identifier la façon dont le mot de passe est vérifié, il a ensuite développer un logiciel lequel parvient à mettre la main sur le mot de passe de la clé en un instant comme on peut le voir dans la vidéo ci-dessous :

Le second appareil testé est le modèle Verbatim Executive Fingerprint Secure. Sur ce modèle, l’authentification est biométrique, elle se fait à l’aide de votre empreinte digitale. La configuration et la gestion des empreintes se fait au travers d’un logiciel maison à installer sur son ordinateur. Le chercheur en sécurité à tout bêtement analysé le fonctionnement de ladite application, et ce qu’il a trouvé est effrayant, la clé USB transmet automatiquement au pc le mot de passe admin qui permet notamment d’accéder aux données stockées sur la clé. Là aussi, ce dernier a développé un software capable d’intercepter instantanément le mot de passe que la clé envoi au PC, comme on peut le constater dans la vidéo ci-dessous :

Que vous manipuliez des données sensibles (ou non), je vous déconseille vivement d’acheter un de ces modèles qui sont de véritables passoires et ne remplissent absolument pas le rôle qu’est le leur, sécuriser vos données.

Sources : SySS pentest-blog, blog.syss.com

Une erreur à signaler ou une suggestion ? Contact.