USB-HID, ou la faille des claviers connectés

J’écoute beaucoup de podcasts, mais ça j’en reparlerai plus tard. J’ai cependant écouté le dernier podcast NoLimitSécu sur une faille de sécurité des claviers sans fils. Ils parlent aussi des clé USB qui imitent des claviers.## Une faille de sécurité

Le hic avec ces claviers, c’est leur besoin de rapidité (gaming, …). Le chiffrement prend du temps, c’est trop long. Mais il y en a un quand même, faut pas déconner. Ce n’est qu’une application de l’opérateur binaire XOR (la blague). Autrement dit, le reverse engineering est assez aisé. En sniffant le réseau, il est possible de récupérer toute lettre écrite (donc mots de passes, identifiants, tchats, email, …).

Propriété du hack

L’intervenant Jérôme Poggi assure que la détection des frappes peut se faire à 20 mètres et l’injection de lettres (c.à.d. de commandes potentielles) à 10 mètres. Avec l’injection au clavier, les possibilités sont énormes.

Que faire ?

Ne pas utiliser de clavier sans fil ! Il faut juste un câble. Si le besoin est trop fort, se renseigner directement chez le constructeur pour connaître le chiffrement utilisé.

Pour en savoir plus, voici le lien du podcast