Personne ne s’attend à ce qu’un minuscule dongle USB pour souris et clavier sans fil pose un problème de sécurité, mais c’est la réalité de Logitech : l’entreprise a reconnu que le récepteur fourni avec plusieurs de ses produits présente des vulnérabilités qui peuvent permettre d’envahir l’ordinateur.
Unifying est un minuscule récepteur USB que la société a introduit en 2009 et qui a été distribué avec de nombreux appareils sans fil, sinon tous. La plupart des claviers et souris Logitech actuels sont compatibles avec cet accessoire.
En plus d’être très compact, l’Unifying a l’avantage de permettre la connexion simultanée de six appareils sans fil dans la fréquence de 2,4 GHz et qui se trouvent jusqu’à 10 m de distance.
Mais selon l’expert en sécurité Marcus Mengs, Unifying peut également être exploité pour injecter un code malveillant dans l’ordinateur de la victime ou pour capturer des données de la machine, comme des informations nouvellement tapées.
La seule raison pour laquelle le problème n’est pas considéré comme plus grave est que l’attaquant doit être proche de l’ordinateur pour y accéder depuis Unifying. Malgré cela, les vulnérabilités méritent l’attention car elles peuvent constituer un risque pour les utilisateurs qui visitent un client ou utilisent l’ordinateur dans un espace public, par exemple.
Sur Twitter, Mengs a fait deux démonstrations du problème. Dans l’un d’eux, il peut explorer la connexion Unifying en utilisant un deuxième ordinateur avec un renifleur USB à 10 €.
Cela ne peut se faire que pendant la courte période de temps nécessaire au dongle pour apparier les appareils qui lui sont connectés, mais la procédure fonctionne. La preuve en est que les informations inscrites sur le premier carnet figurent sur le second :
Dans la deuxième démonstration, Marcus Mengs retire un dongle de la ligne Spolight (télécommande pour les présentations) de l’ordinateur à attaquer et l’insère dans un autre. Lorsque le récepteur est réinséré dans le premier ordinateur portable, Mengs est en mesure de lui envoyer un code malveillant :
To The Verge, Logitech a reconnu le problème. Tout dispositif basé sur la technologie Unifying peut être vulnérable, y compris les récepteurs de ligne tels que Spolight (comme on le sait déjà) et Lightspeed (ligne de jeu).
La société a promis de publier des mises à jour de micrologiciels pour corriger ces bogues, mais elles ne seront pas disponibles avant le mois d’août. Pour l’instant, il pourrait être utile d’installer les mises à jour d’un bogue similaire connu sous le nom de MouseJack : découvert en 2016, il affectait les dongles USB de Logitech et d’autres sociétés.
