Un correctif pour le noyau Linux propose de détecter les périphériques USB malveillants

Zubeyr Almaho a proposé le pilote hid-omg-detect, qui observe de manière passive les entrées HID (Human Interface Device) provenant de périphériques USB ressemblant à des claviers. Soumis dans sa deuxième version, le correctif répond aux remarques précédentes concernant la gestion des états et les pratiques de journalisation de la version initiale. Les responsables du noyau décideront s'il sera intégré à la base de code du noyau Linux, comme l'indique la proposition sur la liste de diffusion, relayée par Phoronix. Le pilote évalue les périphériques à l'aide de trois mesures clés : l'entropie du timing des frappes, le délai entre le branchement et le début de la saisie, et l'empreinte des descripteurs USB. La frappe humaine légitime diffère nettement de l'injection automatisée de frappes par du matériel malveillant. Lorsqu'un seuil de score configurable est dépassé, le module enregistre un avertissement dans le noyau et suggère l'utilisation de l'outil espace utilisateur USBGuard pour le blocage, sans modifier ni retarder les événements de saisie. Le correctif cible des menaces telles que BadUSB, révélée en 2014, où des périphériques USB reprogramment leur micrologiciel pour imiter des claviers et exécuter des charges utiles, comme l'ouverture de terminaux ou le téléchargement de logiciels malveillants. Un autre exemple est le câble O.MG, qui dissimule un implant dans un câble USB d'apparence standard pour injecter des frappes, enregistrer des données, usurper des identifiants et permettre un contrôle WiFi à distance. Les partisans notent que ces attaques persistent et évoluent malgré une attention médiatique réduite.