La cigarette électronique, les hackers chinois et ta mère

Ni une ni deux, les commerçants de e-clopes, vous indiquent qu'il est indispensable de se procurer des cigarettes électroniques "de marque", vous annonçant de grands nom du secteur... et surtout de Shenzhen, capitale mondiale de la cigarette électronique low cost (que l'on trouve à moins de 10$ en ligne et surtout à plus de 80 euros chez nous avec une marque d'un magasin bien français apposée dessus...).

On est en plein shitstorm que les uns et les autres tentent de récupérer dans une rare surenchère à la bêtise.

On va donc se la faire en 2 temps et commencer par comprendre la menace actuelle, BadUSB, puis démonter les postulats visant à remplacer une ecigarette de merde par une autre ecigarette de merde, toujours chinoise, produite par des entreprises qui ne fabriquent pas les composants incriminés...  mais vendue plus chère grâce à un logo dessus... logo souvent effacé par les boutiques en France pour y apposer le leur.

BadUSB c'est quoi ?

Quand vous branchez un périphérique USB sur un ordinateur, vous avez surement remarqué que votre ordinateur était capable de reconnaitre la nature du périphérique, d’afficher son nom et de reconnaitre s’il s’agit d’une imprimante, d’une clé de stockage, ou de reconnaitre une cigarette électronique pour savoir qu’il ne va pas chercher à la monter pour écrire dessus mais se cantonner à lui envoyer le courant qu’elle demande pour se recharger ?

Si ceci est possible, c’est parce que chaque périphérique USB, pour faire ultra simple, contient un microcode qui dit à votre ordinateur « boujour je m’appelle comme ça, et je te demande de faire ça pour moi » : c’est à ce moment que votre système d’exploitation interprète l'instruction qui lui est envoyé et prend la décision de mener l’action demandée.

L’attaque consiste donc à reprogrammer le comportement d'un composant USB que tu vas brancher sur un ordinateur. En altérant le microcode qui cause à ton ordinateur, il est possible de faire passer un objet pour un autre. Certes, l’attaque n’est pas à la portée de tout le monde, mais le code rendu public montre qu’il est possible de le faire et que ceci peut avoir des conséquences désastreuses. Par exemple, combiné à une autre vulnérabilité critique dont on parle pas mal en ce moment (Shellshok) il devient possible de transformer une cigarette électronique en un outil d’attaque qui va injecter une commande exploitant cette vulnérabilité pour changer les variable d’environnement de l’interpréteur de commandes que l’on retrouve sur tous les systèmes unix (Gnu Linux/Unix représentent l'immense majorité des serveurs web mondiaux).

Les clés USB dédiées à l'infection d'ordinateurs, c'était déjà quelque chose de connu.

BadUSB va donc bien plus loin puisque la vulnérabilité affecte de très nombreux périphériques USB équipés d'un controleur... et devinez quoi ? Et bien des fabricants de contrôleurs USB... il n'y en a pas 150.

Les "vapoteuses" tinoises

Tout le monde n'est pas familier de l'industrie de la cigarette électronique, aussi peut être judicieux de rappeler quelques éléments : La Chine s'est tout de suite imposée comme le premier fabricant mondial de cigarettes électroniques. Une cigarette électronique, c'est une batterie avec un switch, un connecteur (dit connecteur 510) pour l'atomiseur qui sert aussi d'interface USB pour recharger la batterie, et de temps à autres, un variateur de tension... bref une "vapoteuse" comme décrite dans la presse, ça ressemble à ça :

Sauf que vous n'aurez pas manqué de noter que ce bidule ne ressemble pas franchement à une interface USB... évidemment... puisque ce n'est pas là qu'elle se situe. L'interface en question est en fait un adaptateur USB vers connexion 510... Notre nouveau vecteur d'attaque ressemble donc plutôt à ceci et coûte environ 1 euro :

C'est donc dans ce chargeur que se situerait un contrôleur USB vulnérable... ouais, pourquoi pas.

Mais assez naivement, quand je prends un câble USB pour recharger mon téléphone, je me rends compte qu'il fonctionne aussi sur ma tablette... c'est quand même magique une connectique standard non ? Et devinez quoi ? Et bien ce chargeur à 1 euro fonctionne aussi bien sur une cigarette électronique à 4$ que sur une "cigarette électronique de marque" à 80 euros, et pour cause, ce sont les mêmes.

Que ce détail échappe à des vendeurs peu scrupuleux passe encore, mais pour le Guardian, on est quand même en droit de se demander ce qu'il s'est passé à la cafèt' de la rédac'.

Attention, voici le scoop

AUCUN fabricant de cigarette électronique ne fabrique de contrôleur USB. En clair, que vous achetiez une Innokin à plus de 100 euros ou une bouze sur Fasttech à $4... vous encourrez le même risque, puisque ces composants sortent dans les deux cas des mêmes usines.

Vous voilà avertis : claquez directement la porte d'un vendeur qui met en avant une marque ou une autre en vous parlant de chargeur USB pour cigarette électronique, il est soit con, soit malhonnête... soit un peu des deux.

Et maintenant... le Press'Fail

Malgré tout le respect que l'on peut légitimement porter pour cette institution qu'est le Guardian, il faut bien avouer que "l'enquête" du média anglais est... comment le dire poliment...  à chier.

Et vous allez voir à quel point la presse est capable de préter crédit à post d'un anonyme sur Reddit au point d'oublier de faire une simple recherche pour trouver des éléments sur l'absence de concret de ce bruit qui circule depuis mars dernier... putain 9 mois de silence, un post anonyme sur Reddit et paff ça pisse du pixel.

Voici la genèse :

• En mars dernier, Jester publie un billet sur son blog évoquant un scénario dont on ne sait trop s'il tient de la fiction ou d'une observation réelle dont il n'a évidement pas publié le moindre log en nous gratifiant d'un screenshot tout pourri attestant d'une conexion TCP sortant sur une IP floutée... la belle affaire ;
• Toujours en mars dernier votre serviteur relaie ce billet en expliquant que non, ce n'est pas délirant, mais qu'en l'absence d'éléments concrets, il n'y a pas lieu de paniquer... mais voilà, la menace BadUSB plane en arrière plan.
• BadUSB est lâché dans la nature, la menace se précise, et je trouve pas spécialement idiot de rappeler des principes de bonne hygiène informatique expliquant en gros qu'un périphérique comme une cigarette électronique n'a de toutes façons rien à faire connectée à un ordinateur d'entreprise ou d'administration ;
• Incongruité spacio-temporelle, les éléments sont là, personne ne moufte, c'est pas grave on a l'habitude....
• Un anonymepublie il y a quelques heures un "témoignage" sur Reddit où il prétend qu'une machine de sa société a été infectée par une cigarette électronique... encore une fois, pas la moindre trace concrète de l'infection, pas d'information sur la nature du malware, toujours pas la moindre ligne de code à se mettre sous les doigts... et aucun éditeur antivirus à qui on aurait fait parvenir cet étrange code supposé ;
• Le Guardian publie ce truc en sortant du chapeau LE mec leplus impartial de la terre pour vous parler d'une menace informatique, j'ai nommé un éditeur antivirus, Trend Micro... dont le job est un peu de vous vendre des antivirus et de faire en sorte que vous ayez bien la trouille ;
• Les marchands cigarettes électroniques qui se font légèrement déboiter par des sites chinois comme celui-ci ou celui-là, qui vendent des machins dont on ne sait même pas lequel est la contrefaçon de l'autre, sautent sur l'occasion pour mettre en avant leurs produits qui sortent des mêmes usines que la contrefaçon de la contrefaçon d'une copie de clone gris arc en ciel... et qui embarquent exactement les mêmes connectiques USB, issues du même fabricant ;
• La presse française relaie le danger qui plane sur tous les utilisateurs de cigarettes électroniques à bas prix, illustrant parfois même leurs articles de photos de mods qui sont pourtant eux mécaniques et dépourvus de tout connectique USB... logique.

Dites les gars, le FUD, ok, pourquoi pas... mais :

1. vous avez les élements sous le nez, à portée de clic pour vous rendre compte de visu du grossier de cette histoire
2. aucune prise de recul et hop on véhicule un FUD à tête baissée en stigmatisant la cigarette électronique. Oui la menace existe bien, mais c'est pas pour ça qu'il faut raconter n'importe quoi non plus ni omettre de rappeler que cette menace ne se concentre pas sur la seule cigarette électronique. Elle cible tout aussi bien le ventilateur USB que le vibro USB de madame...
3. clap clap aux lumières qui ont poussé ce FUD suite à un témoignage anonyme sur un réseau social n'apportant strictement aucun élément nouveau, ce 9 mois après la bataille...

Non, sérieux... bravo la presse... c'est à se demander si cette campagne n'est pas financée par une association professionnelle de buralistes.

PS : vu que ça fait 9 mois que je suis à la recherche d'un chargeur USB infecté, si vous voyez passer un vecteur d'attaque vaporeux avéré, n'hésitez pas à me le faire parvenir.