Lorsque Darren Kitchen a, pour la première fois, présenté le célèbre « rubber ducky », jamais il n’aurait imaginé le succès qu’il allait connaître. Cette clef USB qui émulait un périphérique clavier/souris (HID) avec script et possibilité d’injection de charge utile allait pourtant connaître plusieurs évolutions. Ainsi Bash Bunny (du script simple, on passe au shell, avec un véritable noyau Linux), sans oublier quelques jolis hacks utilisant des plateformes parfois simples à base de microcontrôleur, parfois plus complexes utilisant des processeur ARM. La famille Teensy, sortes d’Arduino sur-dopés, sont probablement les plus connus dans ce domaine, car « natifs HID » par définition et par construction.
« Ce que je vais vous présenter aujourd’hui,explique Lucas Bongiorni, c’est du Bash Bunny sous stéroïdes, du BadUSB survitaminé », bref, un injecteur USB puissant (Windows, Linux, OSX), capable de singer n’importe quel couple PID/VID. En d’autres termes, de se faire passer pour un authentique clavier référencé même par les outils d’audit de périphériques les plus inquisiteurs. Son nom : Whid, son prix, moins de 11 euros, ses capacités, celles des « bugs » espions de la NSA dévoilés par les fichiers d’Edward Snowden. Car non content d’écouter et d’injecter, Whid peut également répondre à distance aux ordres émis par un terminal distant grâce à un module Wifi embarqué. Le tout Open Source Open Hardware. Les transparents de la présentation Whidesque ressemblent à un catalogue de la Manufacture de St Etienne tant les exemples d’exploits sont nombreux. Whid se cache dans une souris, un « mug » ou un ventilateur USB, se fait passer pour un composant légitime (clavier Microsoft, carte LiliPad d’Arduino) et ne nécessite strictement aucun pilote (chose naturelle pour un HID).
Ce n’est que ça ? Un « keyboard sniffer » doublé d’un injecteur de malware contrôlé Wifi ? Non, pas seulement. Car déjà la version 2.0 est en chantier, avec un Atmega 32u4, un lecteur micro USB pour stocker les charges et enregistrer les captures, un microphone histoire d’écouter les conversations locales, un émetteur utilisant un composant Nordic 2,4 GHz NRF24L01 et… pour les amateurs de connexions distantes planétaires, un bloc SIM800L, module GSM quadribandes. L’outil idéal pour réaliser une attaque MiM discrète.