Guide des technologies

Comment l'usurpation d'un adaptateur Ethernet permet d'intercepter les mots de passe de connexion Windows/Mac

6 min read Cybersécurité Mis à jour 19 Oct 2025
Usurpation d'adaptateur Ethernet et interception de mots de passe
Usurpation d'adaptateur Ethernet et interception de mots de passe

Ordinateur portable avec câble USB-Ethernet, illustration d'une attaque par usurpation d'adaptateur

TL;DR

Un chercheur en sécurité a démontré qu’un dongle USB programmé pour se faire passer pour un adaptateur Ethernet peut convaincre un PC verrouillé d’installer un périphérique réseau, de devenir la passerelle/DNS/WPAD du système, et d’amener le PC à envoyer des identifiants au périphérique usurpé. L’attaque nécessite un accès physique et un utilisateur déjà connecté au poste. Des contre-mesures simples réduisent le risque.

Vue d’ensemble rapide

Un chercheur, Rob Fuller, a modifié le firmware d’un dongle USB SoC pour qu’il se présente comme un adaptateur Ethernet Plug-and-Play. Une fois branché, le périphérique annonce des services réseau (passerelle, serveur DNS, WPAD) ; le système ciblé tente alors d’utiliser ce réseau et peut transmettre des identifiants que l’attaquant peut capter. Fuller a testé l’attaque sur plusieurs versions de Windows (de Windows 98 à Windows 10) et sur OS X El Capitan et Mavericks. Linux n’a pas été testé. Fuller note lui-même qu’il n’est pas certain que les Mac soient vulnérables par défaut, et précise que des restrictions sur l’installation automatique réduisent l’exposition sur certains OS récents.

Détail de l’attaque — comment cela fonctionne

  • L’attaquant a besoin d’accès physique au PC et d’un dongle USB programmable (ex. USB Armory, Hak5 Turtle).
  • Le dongle se fait passer pour un adaptateur Ethernet Plug-and-Play à l’insertion.
  • Le périphérique annonce qu’il est une interface réseau et fournit des services réseau: passerelle, serveur DNS et WPAD (découverte automatique de proxy Web).
  • Le système cible reconnaît le périphérique et installe automatiquement le pilote réseau même si l’écran est verrouillé et un utilisateur est connecté.
  • Le système tente d’utiliser la configuration réseau fournie et, lors de certains processus d’authentification automatique (authentifications réseau/transparences de proxy), envoie des identifiants sur le réseau contrôlé par le dongle.
  • L’attaquant capture ces identifiants et peut tenter de les réutiliser.

Définition rapide des termes principaux

  • WPAD: mécanisme de découverte automatique de proxy Web qui peut provoquer des requêtes d’authentification vers un serveur de proxy malveillant.
  • Plug-and-Play: mécanisme d’installation automatique des pilotes pour périphériques branchés.
  • SoC: system-on-chip, un composant qui permet d’embarquer du code dans un petit dongle.

Systèmes testés et limites observées

  • Tests réussis signalés: Windows 98, Windows 2000, Windows XP SP3, Windows 7 SP1, Windows 10 (Home et Enterprise), OS X El Capitan et Mavericks.
  • Non testé: Linux.
  • Limitations: Fuller indique qu’il est possible que des configurations par défaut sur certains Mac ne soient pas vulnérables, et que les versions modernes d’OS imposent parfois des restrictions sur les types de périphériques installables quand la station est verrouillée.
  • Conditions requises pour l’attaque: accès physique au port USB et un utilisateur déjà connecté (session active). L’attaque échoue si l’installation automatique de périphériques est bloquée par politique.

Exemples d’échec et contre-exemples

  • Systèmes avec politiques de groupe qui exigent une approbation administrateur pour l’installation de nouveaux pilotes empêcheront probablement cette attaque.
  • Machines configurées pour refuser l’installation automatique d’adaptateurs réseau quand l’écran est verrouillé ne seront pas vulnérables.
  • Ordinateurs sans utilisateurs connectés (session fermée) peuvent ne pas déclencher l’envoi d’identifiants.

Mesures préventives recommandées pour les équipes IT

  • Désactiver l’installation automatique de pilotes pour les périphériques USB ou exiger des droits administrateur pour toute installation.
  • Bloquer ou restreindre WPAD et la découverte automatique de proxy au niveau du système ou du réseau.
  • Appliquer des stratégies de groupe (GPO) pour restreindre l’ajout de périphériques réseau non approuvés.
  • Mettre en place une politique d’accès physique stricte aux ports USB (verrous de port, stations fermées, bacs scellés).
  • Surveiller les journaux systèmes pour l’installation de périphériques USB et alerter sur les installations pendant les périodes inhabituelles.

Checklist rapide pour les administrateurs

  • Vérifier et auditer les paramètres d’installation automatique des pilotes.
  • Bloquer WPAD via configuration du navigateur ou règle réseau.
  • Implémenter l’inventaire des périphériques USB et alertes SIEM pour nouveaux devices.
  • Former les utilisateurs à ne pas laisser de session ouverte sans surveillance.

Playbook d’intervention en cas d’incident

  1. Déconnecter physiquement le périphérique suspect et isoler la machine.
  2. Collecter journaux d’événements (installation de périphériques, connexions, logs réseau) pour les 24–72 heures précédentes.
  3. Rechercher exfiltration d’identifiants et comptes compromis.
  4. Réinitialiser ou forcer le changement des mots de passe potentiellement exposés.
  5. Examiner et patcher les politiques de configuration et ajouter des contrôles pour prévenir la récurrence.
  6. Faire un rapport aux parties prenantes et mettre à jour la documentation de sécurité.

Matrice qualitative des risques

  • Probabilité: moyenne (nécessite accès physique mais l’attaque est simple à réaliser)
  • Impact: élevé (mots de passe de session ou identifiants réseau captés)
  • Mitigation prioritaire: politiques de blocage d’installation automatique et contrôle des ports USB

Rôles et responsabilités

  • Administrateur IT: appliquer GPO, configurer logs et alertes, auditer installations.
  • Équipe de sécurité: définir playbook d’intervention, analyser incidents, remédier.
  • Utilisateurs finaux: verrouiller leur poste quand absent, signaler périphériques inconnus.

Critères de validation pour la remédiation

  • Les nouvelles installations de pilotes requièrent une approbation administrateur.
  • WPAD est désactivé ou contrôlé au niveau réseau.
  • Les alertes sur installations USB sont opérationnelles et testées.

Glossaire rapide

  • Adaptateur Ethernet: périphérique matériel qui connecte un ordinateur à un réseau local.
  • WPAD: méthode de découverte automatique du proxy Web.
  • Plug-and-Play: installation automatique des pilotes lorsque vous branchez un périphérique.

Résumé et recommandations finales

L’attaque décrite par Rob Fuller illustre une menace réaliste: un dongle USB programmé peut exploiter les comportements d’installation automatique et de découverte réseau pour intercepter des identifiants sur des machines verrouillées mais avec une session active. La meilleure défense combine contrôle des politiques d’installation, protection physique des ports USB, désactivation des mécanismes de découverte automatique (comme WPAD) et surveillance des événements liés aux périphériques. Mettre en place ces contrôles réduit fortement la surface d’attaque.

Important: cette vulnérabilité demande un accès physique au poste. Pour la plupart des organisations, la réduction du risque passe par des politiques de gestion des périphériques et des mesures simples de sensibilisation.

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Erreur «Appuyer pour charger» sur Snapchat — Guide
Dépannage

Erreur «Appuyer pour charger» sur Snapchat — Guide

Renforcer la cybersécurité de votre service
Cybersécurité

Renforcer la cybersécurité de votre service

Réinitialiser un Android après mot de passe oublié
Android

Réinitialiser un Android après mot de passe oublié

Créer une galerie d'images dans WordPress 3.5
WordPress

Créer une galerie d'images dans WordPress 3.5

iSCSI : config serveur et clients pour tests
Stockage

iSCSI : config serveur et clients pour tests

Redémarrer un Nest Thermostat — guide rapide
Dépannage

Redémarrer un Nest Thermostat — guide rapide