USB Type-C : l'USB-IF donne le coup d'envoi du programme d'authentification

Attention aux dérives...
USB Type-C : l'USB-IF donne le coup d'envoi du programme d'authentification
Crédits : Ruslan Khismatov/iStock

En préparation depuis quelques années, la sécurisation des appareils via l'USB Type-C prend désormais une forme plus concrète. L'USB-IF vient de lancer un programme visant à permettre à un périphérique de s'assurer de l'authenticité d'un câble et/ou d'un chargeur avant d'autoriser le moindre transfert. Une idée louable, mais pas sans risques.

En avril 2016, l'USB Implementers Forum annonçait officiellement l'USB Type-C Authentification, un protocole permettant de vérifier l'origine de chargeurs, câbles et autres périphériques. L'annonce arrivait après plusieurs problèmes graves liés au manque de sécurité de la connectique.

On peut ainsi citer la faille BadUSB en 2014 et, au début de l'année 2016, un Chromebook Pixel 2 « cramé » à cause d'un câble USB Type-C de mauvaise qualité acheté sur Amazon. Quelques semaines plus tard, le revendeur décidait d'ailleurs de bannir tous les câbles USB Type-C « ne correspondant pas aux spécifications standards produites par l'USB Implementers Forum ».

C'est justement pour pallier ce genre de problème (et améliorer la sécurité globale) que l'USB Type-C Authentification avait été présenté dans la foulée. Depuis, nous étions un peu sans nouvelles.

Un programme officiellement lancé

Trois plus tard, l'USB-IF affirme avoir franchi « une étape importante » avec « le lancement de son programme d'authentification USB Type-C ». Les ambitions sont claires : « permettre aux systèmes hôtes de se protéger contre des chargeurs USB non conformes et d'atténuer les risques liés à des périphériques USB contenant du matériel ou du logiciel malveillant ».

Voici quelques cas pratiques mis en avant :

  • Un fabricant peut limiter la compatibilité de ses produits aux seuls chargeurs USB Type-C certifiés
  • Un utilisateur peut choisir de recharger son smartphone/ordinateur uniquement via un chargeur certifié
  • Une société peut imposer aux ordinateurs de n'accepter que des périphériques de stockage USB certifiés par ses soins

L'USB Type-C Authentification est présenté comme un « protocole standard » reposant sur un système de chiffrement asymétrique (voir ci-dessous). L'authentification peut se faire via le bus de données USB ou via Power Delivery dans le cadre des chargeurs. Bien évidemment, cela s'effectue avant que le moindre échange de données ou de courant ne débute.

Dans ce document de juillet 2017, il est indiqué que le protocole prévoit aussi la possibilité de mettre en place des vérifications périodiques afin de s'assurer qu'un produit USB ne soit pas sournoisement remplacé par un autre en cours de route. De plus, l'USB Type-C Authentification peut passer à travers un hub et fonctionne même avec des périphériques en Alternate Mode.

USB Type-C AuthentificationUSB Type-C Authentification

Entre simple recommandation et risque d'abus

L'USB-IF ajoute que « les produits qui utilisent le protocole d'authentification gardent le contrôle sur les règles de sécurité à mettre en œuvre et à appliquer ». Chacun peut ainsi décider des restrictions qu'il souhaite ou non mettre en place. Dans tous les cas, il n'y a aucune obligation a proposer/supporter l'authentification.

La question est maintenant de savoir si l'USB-IF va imposer des garde-fous, car on risque de se diriger vers des situations ubuesques où un fabricant pourrait par exemple imposer l'utilisation de câbles et chargeurs maison. Une telle attitude irait dans le sens inverse de la volonté de l'USB-IF qui est de faire de l'USB (Type-C) un format universel.

Problème, le consortium n'apporte pour le moment pas la moindre réponse à cette question. En plus du communiqué de presse, une page dédiée au programme d'authentification de l'USB Type-C a été mise en ligne... mais elle est toujours complètement vide.

Enfin, aucun fabricant ne semble avoir annoncé de produits USB Type-C avec authentification pour l'instant ; difficile donc d'en apprendre davantage. Les mois à venir nécessiteront sans doute d'être attentifs sur ce point.

DigiCert comme autorité de certification

Comme cela avait déjà été annoncé en novembre dernier, l'USB-IF a sélectionné l'autorité de certification DigiCert – déjà largement connue pour ses certificats SSL – afin de « gérer la PKI [infrastructure à clés publiques, ndlr] et les services d'autorité de certification dans le cadre du programme d'authentification USB Type-C ».

Comme nous, DigiCert attend maintenant « avec impatience la mise en œuvre » de l'authentification USB Type-C. L'USB-IF et ses partenaires étant présents au CES de Las Vegas, on espère pouvoir connaître de nouveaux détails dans la semaine.

L'USB sous surveillance

Pour rappel, des mesures de protection autour de l'USB ont déjà été mises en place chez plusieurs fabricants. Avec iOS 11.4.1, Apple avait bloqué les transferts de données en USB lorsque le terminal est verrouillé depuis au moins une heure.

Chez Google, USBGuard se prépare sur Chrome OS et bloquera les ports USB lorsque l'ordinateur est verrouillé ou en veille. Des protections salutaires pour l'utilisateur, tant qu'elles ne l'enferment pas dans un écosystème trop restrictif.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

10 commentaires
Avatar de GruntZ Abonné
Avatar de GruntZGruntZ- 08/01/19 à 08:54:20

Un câble devrait rester un simple câble, avec juste des fils dedans. Vouloir y mettre de la pseudo "intelligence", c'est permettre qu'on y mettre de la malveillance; fusse-t-elle simplement mercantile. Et ça ne manquera pas d'arriver ...

Avatar de Pseudooo Abonné
Avatar de PseudoooPseudooo- 08/01/19 à 11:18:12

Étrange logique... On va faire deux pas en arrière et se retrouver avec des câbles et des chargeurs propriétaires une fois de plus ?

Avatar de Fabz31 Abonné
Avatar de Fabz31Fabz31- 08/01/19 à 12:47:27

Pour les risques d'incendie c'est pas à ça que les normes CE et consort servent ?

Avatar de yvan Abonné
Avatar de yvanyvan- 08/01/19 à 13:40:29

(quote:38819:Fabz31) Pour les risques d'incendie c'est pas à ça que les normes CE et consort servent ?

Sauf que ça impliquerait que la DGCCRF et consorts aient les moyens de bosser déjà. Et pour un câble amazon à quelques euros je doute que les fabriquants s'embêtent à prendre la certification.

Avatar de Karl Moonferon Abonné
Avatar de Karl MoonferonKarl Moonferon- 08/01/19 à 15:52:45

Je me souviens qu'il y a quelques années une histoire était sortie avec Apple qui mettait un message d'alerte quand le câble n'était pas officiel, ce genre de truc risque d'être le rêve des fabricants pour bloquer ou limiter un câble tiers (Si c'est possible de limiter la vitesse de charge avec ça ils risquent d'adorer)

Avatar de linkin623 Abonné
Avatar de linkin623linkin623- 08/01/19 à 18:33:53

Qu'un cable indique qu'il peut supporter les watts aux appareils, ça me semble pas déconnant maintenant que l'on a jusqu'à 100W il me semble.

Mais pareil qu'au dessus, mettre de l'intelligence ou du moins du logiciel dans un simple cable, ça n'augure rien de bon.

En plus, le consortium USB se grille pour la démocratisation du protocole, déjà que l'on plusieurs normes USB 3, 3.1, C, etc... Revenir aux cables proprio, c'est la fin de l'USB et de l'universel.

Avatar de macintosh_plus Abonné
Avatar de macintosh_plusmacintosh_plus- 09/01/19 à 06:11:21

Y aurait-il eu des interventions de la part d’Apple ? Le consortium part sur une pente glissante. L’idée de départ est louable mais attention à la réalisation... j’espère me tromper, l’avenir nous le dira!

Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 09/01/19 à 06:32:36

(quote:38819:Fabz31) Pour les risques d'incendie c'est pas à ça que les normes CE et consort servent ?

Le problème, c'est que la norme CE est une auto-certification. Le constructeur déclare que son produit est conforme CE, il n'y aura analyse du produit (par la DGCCRF entre autres qui si il y a problème).

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 09/01/19 à 09:07:28

C'est sûr que ça va partir en cacahuètes cette histoire... J'ai pas hâte de voir la suite

Avatar de TheKillerOfComputer Abonné
Avatar de TheKillerOfComputerTheKillerOfComputer- 13/01/19 à 21:56:33

(quote:38807:GruntZ) Un câble devrait rester un simple câble, avec juste des fils dedans. Vouloir y mettre de la pseudo "intelligence", c'est permettre qu'on y mettre de la malveillance; fusse-t-elle simplement mercantile. Et ça ne manquera pas d'arriver ...

L'ennui c'est que maintenant on veut faire un connecteur universel qui supporte des puissances élevées et différents voltages, au lieu du classique 5v/1A de l'USB (bien que Qualcomm avec Quick Charge avait déjà changé la donne sur ce plan, mais au pire des cas le device ne recevrait que 5v à petite puissance, pas de quoi le cramer).

C'est même valable pour l'affichage. Avoir fait en sorte que Displayport/HDMI puisse diffuser du 5v est un danger ENORME car un câble bas-de-gamme risque de balancer cette charge alors qu'il ne devrait pas (et une carte graphique de grillé par un DP qui avait le pin 20 soudé, une...).

Donc maintenant on en est là. Le Type-C n'a rien d'universel, c'est un ratage complet sorti du cerveau d'ingénieurs ignorant totalement qu'un utilisateur lambda n'a pas son savoir. Et il faut tenter de réparer les pots cassés par ce truc... Voilà ce que c'est de vouloir faire en sorte que tous les câbles puissent alimenter n'importe quoi et dans n'importe quelle condition...

Un câble vidéo devrait n'envoier QUE des signaux vidéos, pas alimenter des terminaux spécifiques. Un câble USB devrait n'envoier QUE de quoi alimenter des petites choses, sinon il faut une alimentation externe.

C'est beaucoup plus simple comme ça. Et celui qui nous sort le « oui mais c'est trop de câbles », une réponse : TG.

Tout au plus on peut tolérer le POE sur l'Ethernet...

Édité par TheKillerOfComputer le 13/01/2019 à 21:57
Il n'est plus possible de commenter cette actualité.

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact