Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Gestion des urgences > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-001 : Lacune de la validation de mot de passe de clé USB permettant à des utilisateurs locaux de contourner des contrôles d'accès

Liens institutionnels

Lacune de la validation de mot de passe de clé USB permettant à des utilisateurs locaux de contourner des contrôles d'accès

Numéro : AV10-001
Date : 7 janvier 2010

Objet

L'objet du présent avis est d'attirer l'attention sur une faille qui touche des clés USB " protégées " produites par divers fournisseurs.

Évaluation

Des utilisateurs locaux peuvent contourner des contrôles d'accès pour accéder aux données stockées dans des clés USB. Une entreprise allemande oeuvrant en sécurité a déclaré qu'il est possible de modifier le logiciel de contrôle d'accès afin de permettre à des attaquants locaux d'obtenir un accès non autorisé.   

Cette vulnérabilité touche certains modèles de clés USB produites par Kingston, Verbatim et SanDisk:  

Clés USB SanDisk Cruzer(r) Enterprise FIPS Edition with McAfee CZ46 - 1 Go  
Clés USB SanDisk Cruzer(r) Enterprise FIPS Edition CZ32 - 1 Go, 2 Go, 4 Go, 8 Go  
Clés USB SanDisk Cruzer(r) Enterprise with McAfee CZ38 - 1 Go, 2 Go, 4 Go, 8 Go  
Clés USB SanDisk Cruzer(r) Enterprise CZ22 - 1 Go, 2 Go, 4 Go, 8 Go  
Kingston DataTraveler BlackBox (DTBB)  
Kingston DataTraveler Secure - Privacy Edition (DTSP)  
Kingston DataTraveler Elite - Privacy Edition (DTEP)  
Clés USB Verbatim Corporate Secure FIPS Edition 1 Go, 2 Go, 4 Go, 8 Go  
Clés USB Verbatim Corporate Secure 1 Go, 2 Go, 4 Go, 8 Go   

Le CCRIC n'est au courant d'aucun rapport signalant l'exploitation de cette vulnérabilité, ni de la disponibilité de code d'exploitation dans le domaine publique.

Mesure suggérée

Kingston, Verbatim et SanDisk ont toutes  publié des correctifs pour ce problème :

http://www.kingston.com/driveupdate/
http://www.sandisk.com/business-solutions/enterprise/technical-support/security-bulletin-december-2009
http://www.verbatim.com/security/security-update.cfm

Le CCRIC recommande que les administrateurs identifient les produits touchés, évaluent le besoin de faire des mises à jour et identifient les dépendances potentielles envers les clés USB " protégées ".

Références:

http://securitytracker.com/alerts/2010/Jan/1023410.html
http://securitytracker.com/alerts/2010/Jan/1023409.html
http://securitytracker.com/alerts/2010/Jan/1023408.html   
http://www.sophos.com/blogs/gc/g/2010/01/05/flash-drive-manufacturers-warn-hackers-decrypt-secure-usb-sticks

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-01-07
Haut de la page
Haut de la page
Avis importants