L'USB-IF annonce le lancement du programme d'authentification USB Type-C
Un standard d'authentification qui vise à rendre l'USB-C plus sûr

Le , par Christian Olivier

61PARTAGES

15  0 
L’USB Implementers Forum (USB-IF), l’organisation qui soutient et promeut l’adoption des standards relatifs à la technologie USB (Universal Serial Bus en anglais), a récemment annoncé le lancement de son programme d’authentification USB Type-C (ou USB-C) qui doit contribuer à renforcer la sécurité des appareils exploitant cette interface de communication.

« ;L’USB-IF a le plaisir de lancer le programme d’authentification USB Type-C, conférant ainsi aux OEM la flexibilité de mettre en œuvre un cadre de sécurité idéalement adapté aux contraintes spécifiques de leurs produits ;», a déclaré Jeff Ravencraft, président et COO de l’USB-IF.


Pour rappel, le terme USB est une norme relative à un bus informatique en série qui sert à connecter des périphériques informatiques à un ordinateur ou à tout type d’appareil prévu à cet effet. Il permet notamment de connecter des périphériques à chaud en bénéficiant de la fonctionnalité Plug and Play qui permet de reconnaître automatiquement le périphérique.

La spécification d’authentification USB Type-C définit le procédé d’authentification cryptographique des chargeurs et périphériques USB-C qui s’appuie sur des spécifications datant d’avril 2016 et des méthodes de chiffrement 128 bits. La mise en œuvre de cette authentification devrait permet aux systèmes hôtes de se prémunir contre les chargeurs USB non conformes et d’atténuer les menaces potentielles que constituent les matériels ou logiciels malveillants intégrés dans les périphériques USB susceptibles d’exploiter une connexion USB.

Ce nouveau standard de sécurité doit notamment introduire un soutien à l’authentification soit sur les bus de données USB, soit sur les canaux de communication USB Power Delivery. Il doit également intégrer des spécifications faisant référence aux méthodes cryptographiques existantes et reconnues au niveau international pour le formatage de certificats, les signatures numériques, les mots dièse et la génération de nombres aléatoires.


En utilisant ce protocole, les entreprises devraient être en mesure de « ;fournir aux consommateurs le supplément de sécurité qu’ils sont en droit d’attendre de périphériques certifiés USB ;». Les systèmes hôtes, de leur côté, devraient être capables de confirmer l’authenticité, la capacité ainsi que le statut de certification des périphériques, câbles USB ou chargeur USB une fois qu’une connexion est établie, et bien avant qu’un transfert inapproprié ne soit effectué. Ils pourront même bloquer les dispositifs USB Type-C douteux.

L’USB Implementers Forum a désigné DigiCert, une autorité de certification privée américaine fondée en 2003 qui délivre des certificats de sécurité X.509 pour le protocole SSL, afin d’assurer la gestion de l’infrastructure de gestion de clés (PKI en anglais) et des services d’autorité de certification dans le cadre du programme d’authentification USB Type-C. C’est désormais aux constructeurs de s’emparer de ce programme d’authentification et de l’implémenter dans leurs futurs produits.

Source : eweek, DigiCert

Et vous ?

Qu’en pensez-vous ?

Voir aussi

WebUSB : une API pour connecter les appareils USB aux softwares grâce au Web, le nouveau draft du Web Incubator Community Group
Que faire si vous retrouvez une clé USB dans votre boîte aux lettres ? Des habitants du Nord 59 en France seraient confrontés à ce problème
Les périphériques USB responsables d'une infection sur huit, sur les 700 000 recensées en 2010 par AVAST
Des enregistreurs de frappes camouflés en chargeurs USB, le FBI alerte ses partenaires de l'industrie privée 15 mois après le début de KeySweeper

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de emilie77
Membre actif https://www.developpez.com
Le 03/01/2019 à 10:45
DigiCert saura exactement a chaque fois quelle periferique je connecte?
Avatar de Bardotj
Membre du Club https://www.developpez.com
Le 03/01/2019 à 14:24
Donc une société (a but lucratif donc) américaine avec toute les lois liberticide que nous lui connaissons va être en charge de la gestion de sécuritp …
Qui va définir qu’une clef est douteuse ? Quand on sait a quels points les constructeurs sont bon dans l’implémentation des normes … ça promet dit donc.
Avatar de Steinvikel
Membre éprouvé https://www.developpez.com
Le 03/01/2019 à 17:29
Citation Envoyé par Jeff Ravencraft (président et COO de l’USB-IF)
le programme d’authentification USB Type-C, conférant ainsi aux OEM la flexibilité de mettre en œuvre un cadre de sécurité idéalement adapté aux contraintes spécifiques de leurs produits.
Une politique de sécurité peut être plus "adapté" à un produit ?
Il sous-entend plus pratique à mettre en oeuvre /implémenter /maintenir /etc. ou bien réellement plus performant ?

La spécification d’authentification USB Type-C définit le procédé d’authentification cryptographique des chargeurs et périphériques USB-C qui s’appuie sur des spécifications datant d’avril 2016 et des méthodes de chiffrement 128 bits.
N'est-ce pas là une sécurité déjà déprécié, bien que plus conséquente que la sécurité actuellement intégré dans l'USB ?

Les systèmes hôtes, de leur côté, devraient être capables de confirmer l’authenticité, la capacité ainsi que le statut de certification des périphériques, câbles USB ou chargeur USB une fois qu’une connexion est établie (...). Ils pourront même bloquer les dispositifs USB Type-C douteux.
Première dérive qui va apparaître, c'est de bloquer des dispositifs non douteux, pour des raisons qui elles, seront douteuses... encore pour des histoires de concurrences, ou étatiques. =,='
Quid des appareils rudimentaires qui ne possède pas cette couche d’authentification --> on ne pourra plus lire les méta données tel que la marque, le modèle, l'année, la version, le constructeur... ?

L’USB Implementers Forum a désigné DigiCert (...) qui délivre des certificats de sécurité X.509 pour le protocole SSL, afin d’assurer la gestion de l’infrastructure de gestion de clés (PKI en anglais) et des services d’autorité de certification, dans le cadre du programme d’authentification USB Type-C.
Citation Envoyé par emilie77 Voir le message
DigiCert saura exactement a chaque fois quelle périphérique je connecte?
Tel que c'est dit ça parait possible. =/
Donc le système de sécurité choisi pour l'USB-C est le même modèle que pour bien des aspects du web... est-ce que ça fonctionne sur une machine qui n'est pas relié à internet pour la mise à jour et les requêtes de certificats ?

Qu’en pensez-vous ?
Améliorer la sécurité semble une bonne chose, mais il y a une très grosse occultation sur les raisons ayant débouché sur cette solution, ainsi que les concessions que cela implique... USB-IF fait là de la com' de markéteux, présentant des arguments ne ventant que les avantages de son produit.
En définitive, axer du chiffrement 128b sur du matériel déjà concerné par des atteintes de sécurité, là où un minimum de 256b sur des algorithmes triés sur le volet est très fortement indiqué... me parait très intrigant.
Maintenant, je ne suis pas du domaine, peut-être que quelque chose me passe au-dessus.
Avatar de djuju
Membre éprouvé https://www.developpez.com
Le 03/01/2019 à 19:23
Citation Envoyé par Christian Olivier Voir le message
En utilisant ce protocole, les entreprises devraient être en mesure de « ;fournir aux consommateurs le supplément de sécurité qu’ils sont en droit d’attendre de périphériques certifiés USB ;». Les systèmes hôtes, de leur côté, devraient être capables de confirmer l’authenticité, la capacité ainsi que le statut de certification des périphériques, câbles USB ou chargeur USB une fois qu’une connexion est établie, et bien avant qu’un transfert inapproprié ne soit effectué. Ils pourront même bloquer les dispositifs USB Type-C douteux.
Oui ça améliore la sécurité, mais ça va surtout permettre aux constructeurs de verrouiller leur matériel sur leurs accessoires ou ceux qui auront payé une licence.
Vous avez besoin d'un nouveau chargeur de téléphone ? Bin ce sera celui de Samsung et rien d'autre. Pareil pour votre adaptateur jack...
Vous voulez faire un périphérique pour téléphone portable ? Bin faut payer pour se faire enregistrer par le fabriquant.
Avatar de djuju
Membre éprouvé https://www.developpez.com
Le 03/01/2019 à 19:40
N'est-ce pas là une sécurité déjà déprécié, bien que plus conséquente que la sécurité actuellement intégré dans l'USB ?
En fait, personne n'a jamais implémenté cette partie de la spec. Je ne sais pas si c'est une question de difficulté ou de problème de spec.

Quid des appareils rudimentaires qui ne possède pas cette couche d’authentification
Les device USB doivent être rétrocompatible dans le sens où il doivent être reconnus par le système peut importe sa génération d'USB (1.1, 2.0, 3.0, 3.1). Par contre, rien ne garantie qu'il sera fonctionnel. Cette décision revient au firmware du device USB.
Autrement dit, ce sera un fabriquant du device USB de décider s'il continu sans chiffrement ou pas.

on ne pourra plus lire les méta données tel que la marque, le modèle, l'année, la version, le constructeur... ?
En fait oui. Ces données sont récoltés à l’énumération du device via les devices descriptor. C'est le mécanisme de handshake standard de l'USB. C'est hors protocole de communication et donc non-encrypté.

En définitive, axer du chiffrement 128b sur du matériel déjà concerné par des atteintes de sécurité, là où un minimum de 256b sur des algorithmes triés sur le volet est très fortement indiqué... me parait très intrigant.
Maintenant, je ne suis pas du domaine, peut-être que quelque chose me passe au-dessus.
Comme je le disais plus haut, aujourd'hui personne n'implémente ce chiffrement. Si les data d'un device USB doivent être encryptées, ça doit être fait un niveau de la payload des packets. Les ordres de contrôle ne peuvent être encryptés et donc peuvent être décryptés et interprétés par un sniffer.
Avatar de Steinvikel
Membre éprouvé https://www.developpez.com
Le 04/01/2019 à 11:30
"Les ordres de contrôle ne peuvent être encryptés et donc peuvent être décryptés et interprétés par un sniffer."
Je t'avoue ne pas saisir les mêmes sous-entendu que semblent porter ton raisonnement pour cette phrase.
Une communication USB ne peut-elle pas être établi sous une connexion TLS 1.3 ? C'est juste histoire de s’authentifier, pas pour opérer des transferts volumineux.

PS: Je ne comprends pas en quoi le fait que la sécurité sur USB étant inexistante justifie l'implémentation d'un niveau de sécurité déjà obsolète.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web