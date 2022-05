Comment un lecteur de carte d'identité à puce bon marché vendu sur Amazon est devenu un risque pour la sécurité nationale.



Au début du mois, nous avons fait état d'une attaque de phishing qui a permis de dérober 23,5 millions de dollars au ministère américain de la défense (DoD). Heureusement, le DoD a pu attraper les cybercriminels et récupérer l'argent, mais cet incident souligne la nécessité d'adopter de solides pratiques de cybersécurité au DoD et chez ses sous-traitants. Le DoD est une cible de grande valeur avec une surface d'attaque étendue en raison de sa taille et de sa complexité. Une découverte récente démontre que les cyberattaques peuvent être indirectes et provenir de sources inattendues. Un entrepreneur gouvernemental de la défense a relayé cette découverte à Brian Krebs de KrebsOnSecurity, qui en a publié les détails.







Les employés et les contractants du DoD, ainsi que le personnel militaire, utilisent des cartes d'identité appelées cartes d'accès communes (CAC) pour accéder aux espaces contrôlés, ainsi qu'aux systèmes et réseaux informatiques. Les titulaires de ces cartes ne les utilisent pas uniquement sur place. De nombreux employés et contractants doivent accéder à leur courrier électronique à distance, ce qui nécessite une authentification CAC. Cependant, les lecteurs de cartes approuvés ne sont pas des appareils standard pour les titulaires de cartes. Par conséquent, les employés et les entrepreneurs du gouvernement se tournent souvent vers l'Internet pour trouver des lecteurs de cartes compatibles.







De façon alarmante, un entrepreneur a découvert qu'un de ces appareils était un vecteur de logiciels malveillants. Le contractant a acheté un lecteur de carte à 15 $ vendu par Saicoo sur Amazon. L'appareil a 4,5/5 étoiles et 11 700 évaluations et apparaît dans la section des annonces sponsorisées en haut des résultats de recherche Amazon pour "PIV (Personal Identity Verification) card reader" ou "CAC card reader". Le listing et les évaluations suggèrent que ce lecteur CAC particulier est un appareil sûr et réputé. Cependant, lorsque l'entrepreneur a branché l'appareil sur son ordinateur fonctionnant sous Windows 10, il a été accueilli par un message indiquant que les pilotes de l'appareil ne fonctionnaient pas correctement. Windows lui a conseillé de trouver des pilotes plus récents sur le site Web du fournisseur.



L'entrepreneur a suivi cette instruction et a trouvé des pilotes pour l'appareil sur le site Web de Saicoo, mais ne les a pas installés tout de suite. Il a plutôt téléchargé le fichier sur Virustotal, qui a analysé le fichier à la recherche de logiciels malveillants avec 63 outils antivirus différents. 43 de ces outils ont indiqué que le fichier contenait un malware, en particulier le ver Ramnit. Ramnit a été utilisé dans des attaques sophistiquées d'exfiltration de données et se propage en s'intégrant dans des disques amovibles et des fichiers susceptibles d'être partagés avec d'autres personnes. Ce comportement est particulièrement alarmant, car une clé USB infectée pourrait compromettre un réseau gouvernemental protégé par air.







L'entrepreneur a déclaré à KrebsOnSecurity que la distribution de logiciels malveillants par une société vendant des lecteurs CAC "semble constituer un risque potentiellement important pour la sécurité nationale, étant donné que de nombreux utilisateurs finaux peuvent avoir des niveaux d'autorisation élevés et utilisent des cartes PIV pour un accès sécurisé". Saicoo a peut-être été piraté et distribue le malware sans le savoir, mais l'entreprise ne semble pas disposée à reconnaître la présence du malware. Le contractant a essayé d'informer Saicoo par e-mail que le fichier ZIP sur son site web contient un malware, mais la société a ignoré cette information et a simplement dit que ses appareils les plus récents ne nécessitent pas de pilotes supplémentaires.



KrebsOnSecurity a également contacté Saicoo par e-mail et a reçu la réponse suivante : "Merci de nous avoir contactés, nous avons pris note de votre problème. D'après les détails que vous avez fournis, le problème peut probablement être causé par votre système de défense de sécurité informatique car il semble ne pas avoir recolonisé notre pilote rarement utilisé et l'avoir détecté comme malveillant ou un virus, En fait, il ne porte aucun virus comme vous pouvez nous faire confiance, si vous avez notre lecteur à portée de main, veuillez simplement l'ignorer et continuer les étapes d'installation. Une fois le pilote installé, ce message disparaîtra de la vue de tous. Ne vous inquiétez pas. Pendant ce temps, notre lecteur n'est pas Driver free sur Windows 7 ou plus tard et Mac OS 10.11.1 ou plus tard depuis que nous avons mis à jour notre puce pilote. Merci pour votre conseil et nous sommes impatients de résoudre votre problème dès que possible."



Pour résumer, "Ne vous inquiétez pas, installez notre malware et la nouvelle version que nous avons à venir l'aura dans le firmware !". Um, yay ?



À en juger par ces réponses, Saicoo ne semble pas vouloir assumer la responsabilité du malware distribué sur son site Web. Selon KrebsOnSecurity, Amazon a déclaré qu'il enquêtait sur cette situation. Cependant, même si Amazon supprime la liste des appareils, les personnes qui ont déjà acheté l'appareil risquent de télécharger sans le savoir un logiciel malveillant à partir du site Web de Saicoo.



HOTHARDWARE