MouseJack : une faille importante dans les dongles pour souris sans fil

Mickaël Bazoge |

On a rarement vu une vulnérabilité bénéficier d’un tel traitement de faveur de la part de son découvreur. La société de sécurité informatique Bastille a mis les petits plats dans les grands pour MouseJack, qui bénéficie d’un site web complet, de son press kit, et même d’une vidéo de "promotion" tournée comme une publicité. Pourtant, c’est très sérieux : cette faille permet en effet à une canaille d’exécuter du code sur une machine distante (OS X, Windows, Linux), pour peu qu’elle soit équipée d’un dongle pour souris sans fil.

Les constructeurs de périphériques Bluetooth doivent respecter les mêmes normes de sécurité, ce qui rend la maintenance de leurs produits relativement simple en cas de découverte d’une vulnérabilité. Mais le problème se situe au niveau des souris et claviers sans fil contrôlés par un dongle.

Ces dongles fonctionnent généralement avec une puce réseau nRF24L, fabriquée par Nordic Semiconductor, qui transporte le signal sur la bande de fréquence 2,4GHz ISM. Peu cher et pratique, ce composant est très populaire chez les fabricants de ce type de périphériques, mais il n’est pas non plus soumis aux mêmes impératifs de sécurité que le Bluetooth. De fait, les constructeurs ont toute latitude pour sécuriser les données transmises avec ces dongles.

Les claviers connectés sans fil avec un dongle de ce type sont généralement protégés contre les actes de piratage à distance : les données provenant du périphérique sont transmises à l’ordinateur dans des paquets chiffrés imperméables aux attaques des gredins. Mais ça n’est pas le cas pour les souris dont les communications ne sont pas sécurisées.

Les communications sont sécurisées entre le clavier et l’ordinateur… — Cliquer pour agrandir
… mais pas avec la souris. — Cliquer pour agrandir

Le dongle est donc dans l’incapacité de distinguer ce qui provient de l’utilisateur légitime de ce qui vient d’une crapule, puisqu’il n’y a aucun mécanisme d’identification. Un fripon peut envoyer des paquets de données sur le dongle, par exemple un clic de souris, qui seront interprétés par l’ordinateur de la victime comme s’ils provenaient du propriétaire de plein droit.

Le mécanisme de l’attaque — Cliquer pour agrandir

Le malandrin peut envoyer des clics et des mouvements de souris, mais avec un peu d’astuce, il peut aussi simuler des frappes de clavier. Et donc prendre complètement le contrôle d’un ordinateur à l’insu de l’utilisateur. La palette des possibilités pour le margoulin est donc large et potentiellement très dangereuse.

Il existe deux types de dongles nRF24L sur le marché : le modèle qui ne se programme qu’une seule fois ne peut, par sa nature, être mis à jour. Le second intègre une mémoire flash qu’il est possible de modifier a posteriori. Bastille conseille évidemment de se tourner vers les constructeurs pour obtenir de nouvelles versions mieux sécurisées de leurs produits ; c’est le cas chez Logitech qui propose de mettre à jour ses produits touchés.

Chez Lenovo, on offre de remplacer les modèles d’accessoires posant problème. Dell propose de contacter son service technique pour envisager la meilleure solution pour l’utilisateur. Amazon, Gigabyte, HP et Microsoft n’ont pas encore réagi. Bastille, qui propose en attendant de ne pas utiliser les périphériques en question, a mis en ligne une page pour se tenir au courant des mises à jour et des solutions des constructeurs.

avatar oMc | 

Vous vous êtes régalés sur les synonymes désignant les personnes mal intentionnées xD

avatar Mickaël Bazoge | 
Les forbans, tu veux dire ?
avatar bibyfok | 

Ça en devient ridicule, même le dictionnaire d'OS X désigne les termes comme du vieux Français, et pour Antidote: "vieilli, soutenu – Voleur de grand chemin".

Je ne sais pas si c'est pour donner du style à tes articles, mais c'est navrant.

avatar Zik | 

@bibyfok :
Moi j'aime bien !

avatar zoubi2 | 

Moi aussi ! Continuez !!

avatar Mickaël Bazoge | 
C'est un running-gag entre les rédacteurs. C'est pour de rire. C'est pas grave.
avatar bibyfok | 

@Mickaël Bazoge Ah oui, comme le "vous ne devinerez jamais ce que ..."

C'est exhilarant de lire ce genre de termes vaudevillesque dans un média "sérieux" (qui fait vivre des personnes de son activité).

avatar Mickaël Bazoge | 
Ça n'a rien à voir avec le clickbait. C'est simplement un clin d'œil qu'on envoie à nos lecteurs qui ont l'habitude de ce running gag.
avatar heret | 

Dites donc les arsouilles (!) et si vous faisiez le même concours pour "code", hum ?

(non arsode n'est pas dans le dictionnaire)

avatar C1rc3@0rc | 

@Mickaël Bazoge

Continuez encore et toujours plus!
L'usage, même a des fins comiques, de termes peu usités de la langue française a le mérite de relever le niveau lamentable véhiculé par les canards où d'officiels journaleux de métier sortis d'une vraie école sont sensés être derrière les claviers.
Et si cela agace les clavardeux smstistes et twitterrisés, tant mieux.

Pour revenir au fond de l'article, il faut relever non seulement la dangerosité de la technique, mais surtout le fait qu'elle permet de toucher tout le monde et qu'elle va pas disparaitre de sitôt! Compter sur le fait que les utilisateurs lambda vont "patcher" leurs souris, c'est comme pour les routeurs massivement diffusés qui sont farcie de backdoor: les patch existent mais très peu de routeurs sont patchés, donc les attaques sont toujours aussi efficace.
Merci qui ?

avatar thewindwaker | 

alors retourne donc à ta vie pourrie sans humour.
SInon nous ça va :)

avatar occam | 

@bibyfok :

• fripon : « Allons, qu'on se rétracte, et qu'à l'instant, fripon, / On se jette à ses pieds pour demander pardon » -- Molière, Tartuffe, acte III, scène 7
• malandrin : « Bricconaccia, malandrina, / Fosti ognor la mia rovina. » –– Lorenzo Da Ponte, Don Giovanni, acte I, scène 8
• margoulin : «…il n'ignorait pas que, dès que cette suppression [des crédits américains] serait connue, tous les margoulins de Paris et de New-York prendraient position à la baisse sur ses titres…» -- André Malraux, La condition humaine

Alors, merci de ne pas vouloir ringardiser à tort ce qui reste de vivant et riche dans le vocabulaire de la littérature classique et moderne.

Quant au terme "vaudevillesque", vous n'ignorez sans doute pas qu'il découle d'une déformation de Val-de-Vire, autrefois orthographié Vaudevire ou Vaux-de-Vire, célèbre pour le recueil éponyme de chants paillards du XVIe et XVIIe siècle, Le Livre des Chants nouveaux de Vaudevire ?

Une strophe, la première, à votre enseigne:

Voyant en ces vallons Virois
Des Moulins fouleurs la ruine
Où nos chants prindrent origine,
Regrettant leur temps ie disois :
Où sont ces Moulins, ô Vallons ;
Source de nos chants biberons ?

avatar oMc | 

@MickaëlBazoge :
Bon voilà tu as gâché la journée de bibyfok :( J'espère que tu culpabilises pour ta fourberie, petit polisson.

avatar bibyfok | 

Il n’à pas gâché ma journée, mais entre ça et le clickbait, MacG perd de plus en plus son professionnalisme.
Je me tourne vers d'autres médias: Mac4ever, MacRumors, The Verge...

avatar patrick86 | 

"Il n’à pas gâché ma journée, mais entre ça et le clickbait, MacG perd de plus en plus son professionnalisme."

En quoi le "professionnalisme" ne serait pas compatible avec l'humour ?

avatar macfredx | 

Au revoir...

avatar vrts | 

@bibyfok : surtout ne revient pas, merci...

avatar EBLIS | 

Mac4ever???? Aïe...

avatar Jetel | 

Bibyfok, Adblock, et Apple n'aident vraiment pas Macg en ce moment...

avatar Switcher | 

Bye bye alors...

avatar EBLIS | 

Depuis que j'ai lancé la remarque il y a 1 an ou 2 :-) en voici un nouveau : faquin.

avatar Jetel | 

Mais quel sacripant ce @bibyfok !

avatar bibyfok | 

Synonymes de navrant: déplorable, insipide, lamentable, manqué, mauvais, médiocre, minable, nul, piètre, piteux, pitoyable, qui ne vaut rien, raté.

Mes préférés grâce à Antidote: de broche à foin, poche, qui vaut pas cinq cennes.

avatar Jetel | 

Et les synonymes du mot "idiot" ?

avatar scanmb (non vérifié) | 

Ils ne font pas que chanter ? Les forbans

avatar C1rc3@0rc | 

@scanmb

De quoi parles tu?

avatar scanmb (non vérifié) | 

Au risque d'être un peu vulgaire , c'est vrai , ce sont de vrais gredins

avatar jb18v | 

Mouais enfin vu la portée de ce genre de trucs, ça me semble limité. Mais autant informer, ok :)

avatar bibyfok | 

@patrick86 le professionnalisme implique du sérieux.
Pour que ce soit comique, il faudrait que ce soit drôle, et comme on dit: les plus courtes sont les meilleures.

avatar pocketalex | 

@bibyfok : t'as franchement rien à faire de tes journée que de flooder ce site de commentaires de râleur ?

Le professionnalisme implique de faire des articles qui disent des choses sérieuses, pas qui ont un style sérieux. Nuance.

Tu es le genre de personne très attachée à la forme, et le fond ... c'est la cerise sur le gâteau.

Personnellement, je préfère des articles au fond sérieux, et le traitement est laissé libre à son auteur, tant qu'il m'apprend un truc et ne me désinforme pas.
Et puis j'en ai un peu marre des sites dont l'éditorial ressemble à tous les autres.

Bref, un site c'est le travail d'un auteur ou d'une équipe, et c'est comme les produits d'Apple, si t'aimes pas, tu vas voir ailleurs, mais être présent et râler sur tout pour râler...

avatar byte_order | 

> le professionnalisme implique du sérieux.

Mince, tous ces humoristes qui vont devoir redevenir amateurs, c'est dramatique.

avatar patrick86 | 

"le professionnalisme implique du sérieux."

L'humour et le sérieux ne sont pas incompatibles.

avatar Jetel | 

Parfaitement ! Par exemple, au bloc op quand on fait danser les patients sous anesthésie générale tout en appréciant leur mobilité articulaire.

avatar C1rc3@0rc | 

Moais, et les blagues de carabins ou les jeux et mots douteux produit par le sens de l'humour très particulier des médecins, même lors des interventions?
House n'est pas qu'une serie de fiction...
;)

avatar Bigdidou | 

@C1rc3@0rc :
"l'humour très particulier des médecins, même lors des interventions?"

Encore une fois vous prenez vos fantasmes pour des réalités.

avatar bibyfok | 

@thewindwaker au top, les insultes quand on se permet de critiquer. Belle mentalité

avatar vrts | 

Au plaisir de ne plus te lire ici, l'humour ça fait du bien, on pas besoin de grincheux comme toi ici...

Va te regaler sur Mac4ever et leurs news people à la Voici et leur moderation des commentaires bien radicale dès qu'on ose les critiquer.

bon vent !

avatar Hugo-29 | 

Le Logitech ne détecte pas ma souris --'

avatar Denauw88 | 

En tous cas moi ça m'a bien faire rire, merci @MacGe!

avatar byte_order | 

En tout cas, maj du firmware du dongle de ma Logitech faite.

avatar MiniApple | 

Un vrai régale à Chaque fois que vous parlez de personnes mal intentionnés ! ;)

avatar r e m y | 

Si j'ai tout bien compris, pour que la malveillance puisse opérer, il faut, pour UN utilisateur légitime:
- UNE canaille
- UN gredin
- UNE crapule
- UN fripon
- UN malandrin
- UN margoulin
(et il me semble, si je lis bien l'article, qu'ils doivent agir successivement et dans cet ordre)

C'est quasiment OCEAN eleven votre truc!
le risque de voir rassemblés en un même lieu tous ces malfaisants me semble assez limitée, quand meme...Bibyfok peut dormir tranquille!

avatar C1rc3@0rc | 

thirteen

avatar iDanny | 

Je me marre bien avec le running gag aussi à chaque fois, merci les gars :)

avatar bibyfok | 

Vu le déchainement de haine contre ma critique, il faut croire que je suis seul à penser que ce genre de "running gag" n'a pas sa place sur un site "d'actualité".
Chacun son opinion, merci de respecter la mienne et ne pas dériver dans les insultes/agressions.

avatar pamamajo | 

@bibyfok
Je n'ai pas vu dans les commentaires un déchaînement de haine contre ta critique, juste une grande lassitude et un brin de commisération ... que je partage.

avatar zoubi2 | 

@bibyfok

"Chacun son opinion"... Certes !

Vous donnez la vôtre, on a aussi le droit de ne pas être d'accord et de le dire.

Pour ce qui me concerne, vous me semblez être le prototype du "pisse-vinaigre".

avatar vrts | 

@bibyfok : pourquoi vous etes encore là à jouer les pleureuses ?? bon vent !

avatar Jetel | 

"Nous vivons l'âge d'or de l'expression gratuite et facile. Tout le monde dit ce qu'il pense, et de moins en moins d'entre eux s'arrêtent pour penser à ce qu'ils disent" a dit un québécois marrant.

En parlant de gratuité : site gratuit d'actu...
Il y en a foison (même sur le thème d'Apple).
Pourquoi perdre son temps à attaquer la rédaction ("n'a pas sa place sur un site d'actualité" (...) ) plutôt que de simplement aller voir ailleurs ?

Mais vous avez raison, vous avez parfaitement le droit d'exprimer votre opinion. Encore heureux ! :)

avatar f3nr1l | 

Bibyf***... Tiens, je pensais qu'elle était "fermée pour cause de sentiments différents"
Ceci dit, biby fait ce qu'elle veut.

J'ai le droit, on est ´dredi. Et en plus je suis déjà dehors...

Pages

CONNEXION UTILISATEUR