Lue 960 fois







USB-C : un nouveau standard qui renforce la sécurité

Sécurité : À l’occasion de l’USB Implementers Forum, une nouvelle certification est proposée aux différents constructeurs. Celle-ci vise à lutter contre la propagation de câbles défectueux en mettant en place un système d’authentification des câbles certifiés.


L’USB IF est un forum rassemblant les différents constructeurs de câbles USB et travaillant à la standardisation de ce nouveau format. Pour parer aux problèmes rencontrés par certains utilisateurs qui ont été confrontés à des câbles USB-C non certifiés, capables d’endommager l’ordinateur, les différents constructeurs ont donc proposé une nouvelle spécification permettant de mettre en place un système d’authentification des câbles.


Comme le rapporte Ars Technica, celle-ci propose l’utilisation d’une puce par les différents constructeurs rassemblant un certain nombre de données liées au câble en question : le constructeur, le modèle, le type de câble, etc. Ces données sont transférées à la machine avant que celle-ci établisse une connexion à travers le câble USB-C et permettent ainsi à celle-ci de vérifier que le câble répond bien aux spécifications édictées par l’USB-IF.


BadUSB


Un câble ne disposant pas de ces certifications et n’ayant donc pas été approuvé par l’USB-IF sera inopérant sur la machine. Les données seront également chiffrées en 128 bits, ce qui permettra de garantir leur intégrité. Cette authentification du câble intervient avant toute connexion entre le câble et la machine, et ce même si celle-ci n’est utilisée que pour charger une batterie sans aucun échange de donnée.


Les câbles répondant à cette spécification seront théoriquement indiqués grâce à un logo indiquant que le câble a été certifié par l’USB-IF. Les constructeurs proposant des ports USB-C sur leurs appareils devront également mettre à jour afin de mettre en place les mécanismes d’authentification de leur côté.


Cette nouvelle spécification est évidemment pensée en premier lieu pour lutter contre les contrefaçons de câble USB qui peuvent éventuellement affecter les machines auxquels ils sont branchés. Mais elle permet également d’envisager des scénarios plus complexes pour les entreprises, en leurs permettant de mettre en place une politique de sécurité à l’égard des périphériques USB-C.


Il pourrait ainsi être envisageable de n’autoriser que les connexions grâce aux câbles USB-C disposant d’un certificat spécifique liée à l’entreprise en question. Une méthode d’authentification qui pourrait notamment permettre de lutter contre des malwares tels que BadUSB, qui s’appuient sur un firmware modifié d’un périphérique USB pour exécuter du code critique sur la machine cible.


 


Source: zdnet