Vous avez aimé le canard en plastique et la tortue réseau ? vous allez adorer Bash le Lapin, la toute dernière production de Hack5, issue des méninges démoniaques de Daren Kitchen.
On connaissait déjà l’USB rubber ducky, outil d’attaque en « rejoue » et injection, capable de faire croire au système d’exploitation à un simple branchement de clavier ou souris (identifiant HID). On avait tous entendu parler du Pineapple, l’ananas sans fil, outil intégré d’audit et pentest de réseau Wifi. Cette terrible famille comptait également la tortue réseau, une clef USB destinée à établir discrètement un accès distant sur une machine, la transformant du coup en espion réseau et point d’attaque « man in the middle ».
Bash Bunny est d’une toute autre dimension. C’est un ordinateur linux sur clef usb, totalement orienté pentesting, c’est donc une plateforme d’attaque qui ne nécessite aucun driver, simule une carte gigabit, un disque mémoire-flash, un port série et, bien entendu un clavier -héritage génétique du Canard en caoutchouc déjà mentionné. Injection de données, exécution de scripts, extraction de fichiers, installation de portes dérobées, ce lapin « ne nécessite que 7 secondes entre son branchement et le p0wn de la machine cible » affirment ses concepteurs.
Bash Bunny est assez proche, dans l’esprit, à USB Armory qu’avait développé Andrea Barissani et qui vient très récemment de rejoindre le giron de F-Secure.
Il va sans dire que l’usage de ces outils en dehors du cadre strict d’un contrat de test de pénétration ou à des fins strictement personnelles fait encourir à son propriétaire les foudres des LCEN, Loppsi et autres codicilles de la LPM.
1 commentaire