USB Type-C : l'USB-IF donne le coup d'envoi du programme d'authentification

Attention aux dérives...
USB Type-C : l'USB-IF donne le coup d'envoi du programme d'authentificationCrédits : Ruslan Khismatov/iStock

En préparation depuis quelques années, la sécurisation des appareils via l'USB Type-C prend désormais une forme plus concrète. L'USB-IF vient de lancer un programme visant à permettre à un périphérique de s'assurer de l'authenticité d'un câble et/ou d'un chargeur avant d'autoriser le moindre transfert. Une idée louable, mais pas sans risques.

En avril 2016, l'USB Implementers Forum annonçait officiellement l'USB Type-C Authentification, un protocole permettant de vérifier l'origine de chargeurs, câbles et autres périphériques. L'annonce arrivait après plusieurs problèmes graves liés au manque de sécurité de la connectique.

On peut ainsi citer la faille BadUSB en 2014 et, au début de l'année 2016, un Chromebook Pixel 2 « cramé » à cause d'un câble USB Type-C de mauvaise qualité acheté sur Amazon. Quelques semaines plus tard, le revendeur décidait d'ailleurs de bannir tous les câbles USB Type-C « ne correspondant pas aux spécifications standards produites par l'USB Implementers Forum ».

C'est justement pour pallier ce genre de problème (et améliorer la sécurité globale) que l'USB Type-C Authentification avait été présenté dans la foulée. Depuis, nous étions un peu sans nouvelles.

Un programme officiellement lancé

Trois plus tard, l'USB-IF affirme avoir franchi « une étape importante » avec « le lancement de son programme d'authentification USB Type-C ». Les ambitions sont claires : « permettre aux systèmes hôtes de se protéger contre des chargeurs USB non conformes et d'atténuer les risques liés à des périphériques USB contenant du matériel ou du logiciel malveillant ».

Voici quelques cas pratiques mis en avant :

  • Un fabricant peut limiter la compatibilité de ses produits aux seuls chargeurs USB Type-C certifiés
  • Un utilisateur peut choisir de recharger son smartphone/ordinateur uniquement via un chargeur certifié
  • Une société peut imposer aux ordinateurs de n'accepter que des périphériques de stockage USB certifiés par ses soins

L'USB Type-C Authentification est présenté comme un « protocole standard » reposant sur un système de chiffrement asymétrique (voir ci-dessous). L'authentification peut se faire via le bus de données USB ou via Power Delivery dans le cadre des chargeurs. Bien évidemment, cela s'effectue avant que le moindre échange de données ou de courant ne débute.

Dans ce document de juillet 2017, il est indiqué que le protocole prévoit aussi la possibilité de mettre en place des vérifications périodiques afin de s'assurer qu'un produit USB ne soit pas sournoisement remplacé par un autre en cours de route. De plus, l'USB Type-C Authentification peut passer à travers un hub et fonctionne même avec des périphériques en Alternate Mode.

USB Type-C AuthentificationUSB Type-C Authentification

Entre simple recommandation et risque d'abus

L'USB-IF ajoute que « les produits qui utilisent le protocole d'authentification gardent le contrôle sur les règles de sécurité à mettre en œuvre et à appliquer ». Chacun peut ainsi décider des restrictions qu'il souhaite ou non mettre en place. Dans tous les cas, il n'y a aucune obligation a proposer/supporter l'authentification.

La question est maintenant de savoir si l'USB-IF va imposer des garde-fous, car on risque de se diriger vers des situations ubuesques où un fabricant pourrait par exemple imposer l'utilisation de câbles et chargeurs maison. Une telle attitude irait dans le sens inverse de la volonté de l'USB-IF qui est de faire de l'USB (Type-C) un format universel.

Problème, le consortium n'apporte pour le moment pas la moindre réponse à cette question. En plus du communiqué de presse, une page dédiée au programme d'authentification de l'USB Type-C a été mise en ligne... mais elle est toujours complètement vide.

Enfin, aucun fabricant ne semble avoir annoncé de produits USB Type-C avec authentification pour l'instant ; difficile donc d'en apprendre davantage. Les mois à venir nécessiteront sans doute d'être attentifs sur ce point.

DigiCert comme autorité de certification

Comme cela avait déjà été annoncé en novembre dernier, l'USB-IF a sélectionné l'autorité de certification DigiCert – déjà largement connue pour ses certificats SSL – afin de « gérer la PKI [infrastructure à clés publiques, ndlr] et les services d'autorité de certification dans le cadre du programme d'authentification USB Type-C ».

Comme nous, DigiCert attend maintenant « avec impatience la mise en œuvre » de l'authentification USB Type-C. L'USB-IF et ses partenaires étant présents au CES de Las Vegas, on espère pouvoir connaître de nouveaux détails dans la semaine.

L'USB sous surveillance

Pour rappel, des mesures de protection autour de l'USB ont déjà été mises en place chez plusieurs fabricants. Avec iOS 11.4.1, Apple avait bloqué les transferts de données en USB lorsque le terminal est verrouillé depuis au moins une heure.

Chez Google, USBGuard se prépare sur Chrome OS et bloquera les ports USB lorsque l'ordinateur est verrouillé ou en veille. Des protections salutaires pour l'utilisateur, tant qu'elles ne l'enferment pas dans un écosystème trop restrictif.

  • Introduction
  • Un programme officiellement lancé
  • Entre simple recommandation et risque d'abus
  • DigiCert comme autorité de certification
  • L'USB sous surveillance
S'abonner à partir de 3,75 €

2000 - 2021 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact