⚔ Protection contre les Faux émulateurs de clés matérielles générant des accès à distance sous Linux
Introduction
Les clés matérielles, aussi appelées dongles, servent à sécuriser l’accès à des logiciels et des systèmes critiques. Toutefois, des faux émulateurs de clés matérielles peuvent être utilisés par des attaquants pour contourner ces sécurités et obtenir un accès à distance non autorisé. Ce tutoriel vous explique comment identifier, surveiller et bloquer ces faux émulateurs sur un système Linux afin de protéger votre environnement.
Prérequis
• Prérequis techniques : Connaissance des commandes lsusb, udevadm, et des logs système
• Permissions requises : Accès root ou utilisateur avec droits sudo
Méthodologie
Nous utiliserons trois approches pour protéger votre système Linux contre les faux émulateurs de clés matérielles :
Description des trois approches :
🖈 Approche # 1 : Analyse et vérification des périphériques connectés via les commandes système
🖈 Approche # 2 : Surveillance des activités USB avec des outils comme udevadm et auditd
🖈 Approche # 3 : Application de règles UDEV pour restreindre l’utilisation de périphériques non approuvés
Les avantages
Avantage de l'approche # 1 : Permet une identification rapide des périphériques suspects
Avantage de l'approche # 2 : Surveillance en temps réel des activités USB
Avantage de l'approche # 3 : Blocage automatique des périphériques non approuvés
Les inconvénients
Inconvénient de l'approche # 1 : Nécessite une vérification manuelle des périphériques connectés
Inconvénient de l'approche # 2 : Configuration initiale complexe des outils de surveillance
Inconvénient de l'approche # 3 : Une mauvaise configuration peut bloquer des périphériques légitimes
Étapes à suivre pour l'approche # 1
• Listez les périphériques USB connectés à votre système :
• Identifiez les périphériques suspects en recherchant leurs identifiants fournisseur (VID) et produit (PID) :
• Consultez les détails supplémentaires pour vérifier l’origine du périphérique :
Remplacez XXX et YYY par les numéros de bus et de périphérique respectifs.
• Si un périphérique semble suspect, déconnectez-le ou désactivez son accès :
Remplacez 1-1 par l’adresse USB du périphérique.
Pour de plus amples informations
• Utilisation de lsusb
• Commande udevadm
Étapes à suivre pour l'approche # 2
• Installez auditd si ce n’est pas déjà fait :
(Debian/Ubuntu)
(RedHat/Fedora)
• Configurez une règle pour surveiller les connexions USB :
• Consultez les logs pour identifier les activités suspectes :
• Surveillez en temps réel les connexions USB avec udevadm monitor :
Pour de plus amples informations
• Surveillance USB avec auditd
• Commande udevadm monitor
Étapes à suivre pour l'approche # 3
• Créez une règle UDEV pour bloquer les périphériques USB non approuvés :
• Ajoutez la règle suivante pour refuser les périphériques USB spécifiques :
Remplacez XXXX et YYYY par l’identifiant du périphérique à bloquer.
• Rechargez les règles UDEV :
• Testez la règle en connectant un périphérique correspondant aux critères spécifiés.
Pour de plus amples informations
• Créer des règles UDEV
Astuce
Activez le mode "Lecture seule" pour les périphériques USB non reconnus afin de limiter leurs actions sur le système.
Pour de plus amples informations
• Configurer lecture seule pour USB
Mise en garde
Assurez-vous de ne pas bloquer accidentellement des périphériques légitimes essentiels à votre système. Testez chaque règle UDEV avant de la déployer.
Conseil
Effectuez des audits réguliers des périphériques connectés pour vous assurer qu’aucun périphérique non autorisé n’a été ajouté.
Pour de plus amples informations
• Audit des connexions USB sous Linux
Solution alternative
Utilisez un outil comme USBGuard pour surveiller et gérer les connexions USB en temps réel.
Pour de plus amples informations
• Télécharger et configurer USBGuard
Conclusion
Protéger votre système Linux contre les faux émulateurs de clés matérielles est une étape cruciale pour garantir la sécurité des données et éviter les accès à distance non autorisés. Les approches décrites ci-dessus vous permettront d’identifier, surveiller et bloquer ces menaces efficacement.
Source: Tutoriaux-Excalibur
IntroductionLes clés matérielles, aussi appelées dongles, servent à sécuriser l’accès à des logiciels et des systèmes critiques. Toutefois, des faux émulateurs de clés matérielles peuvent être utilisés par des attaquants pour contourner ces sécurités et obtenir un accès à distance non autorisé. Ce tutoriel vous explique comment identifier, surveiller et bloquer ces faux émulateurs sur un système Linux afin de protéger votre environnement.
Prérequis• Prérequis techniques : Connaissance des commandes lsusb, udevadm, et des logs système
• Permissions requises : Accès root ou utilisateur avec droits sudo
Méthodologie Nous utiliserons trois approches pour protéger votre système Linux contre les faux émulateurs de clés matérielles : Description des trois approches :🖈 Approche # 1 : Analyse et vérification des périphériques connectés via les commandes système
🖈 Approche # 2 : Surveillance des activités USB avec des outils comme udevadm et auditd
🖈 Approche # 3 : Application de règles UDEV pour restreindre l’utilisation de périphériques non approuvés
Les avantages Avantage de l'approche # 1 : Permet une identification rapide des périphériques suspects Avantage de l'approche # 2 : Surveillance en temps réel des activités USB Avantage de l'approche # 3 : Blocage automatique des périphériques non approuvés Les inconvénients Inconvénient de l'approche # 1 : Nécessite une vérification manuelle des périphériques connectés Inconvénient de l'approche # 2 : Configuration initiale complexe des outils de surveillance Inconvénient de l'approche # 3 : Une mauvaise configuration peut bloquer des périphériques légitimes Étapes à suivre pour l'approche # 1• Listez les périphériques USB connectés à votre système :
Code:
lsusb• Identifiez les périphériques suspects en recherchant leurs identifiants fournisseur (VID) et produit (PID) :
Code:
lsusb -v | grep -E "idVendor|idProduct"• Consultez les détails supplémentaires pour vérifier l’origine du périphérique :
Code:
udevadm info --query=all --name=/dev/bus/usb/XXX/YYY• Si un périphérique semble suspect, déconnectez-le ou désactivez son accès :
Code:
echo '1-1' | sudo tee /sys/bus/usb/drivers/usb/unbind• Utilisation de lsusb
• Commande udevadm
Étapes à suivre pour l'approche # 2• Installez auditd si ce n’est pas déjà fait :
Code:
sudo apt install auditd
Code:
sudo yum install audit• Configurez une règle pour surveiller les connexions USB :
Code:
sudo auditctl -w /dev/bus/usb -p rw -k usb-activity• Consultez les logs pour identifier les activités suspectes :
Code:
sudo ausearch -k usb-activity• Surveillez en temps réel les connexions USB avec udevadm monitor :
Code:
udevadm monitor --udev• Surveillance USB avec auditd
• Commande udevadm monitor
Étapes à suivre pour l'approche # 3• Créez une règle UDEV pour bloquer les périphériques USB non approuvés :
Code:
sudo nano /etc/udev/rules.d/99-usb-block.rules• Ajoutez la règle suivante pour refuser les périphériques USB spécifiques :
Code:
ACTION=="add", SUBSYSTEM=="usb", ATTR{idVendor}=="XXXX", ATTR{idProduct}=="YYYY", RUN+="/bin/sh -c 'echo 0 > /sys/bus/usb/devices/%k/authorized'"• Rechargez les règles UDEV :
Code:
sudo udevadm control --reload-rules && sudo udevadm trigger• Testez la règle en connectant un périphérique correspondant aux critères spécifiés.
Pour de plus amples informations• Créer des règles UDEV
AstuceActivez le mode "Lecture seule" pour les périphériques USB non reconnus afin de limiter leurs actions sur le système.
Pour de plus amples informations• Configurer lecture seule pour USB
Mise en gardeAssurez-vous de ne pas bloquer accidentellement des périphériques légitimes essentiels à votre système. Testez chaque règle UDEV avant de la déployer.
ConseilEffectuez des audits réguliers des périphériques connectés pour vous assurer qu’aucun périphérique non autorisé n’a été ajouté.
Pour de plus amples informations• Audit des connexions USB sous Linux
Solution alternativeUtilisez un outil comme USBGuard pour surveiller et gérer les connexions USB en temps réel.
Pour de plus amples informations• Télécharger et configurer USBGuard
ConclusionProtéger votre système Linux contre les faux émulateurs de clés matérielles est une étape cruciale pour garantir la sécurité des données et éviter les accès à distance non autorisés. Les approches décrites ci-dessus vous permettront d’identifier, surveiller et bloquer ces menaces efficacement.
Source: Tutoriaux-Excalibur
