Informatique: La faille des clés USB ne peut pas être corrigée

Lors de la conférence Black Hat à Las Vegas, en juillet dernier, les deux chercheurs en sécurité allemands Karsten Nohl et Jakob Lell de SR Labs avaient révélé l'existence d'une vulnérabilité critique dans les clés USB. Baptisée BadUSB, cette faille de sécurité permet d'infecter tout périphérique USB sans que le logiciel malveillant puisse être détecté. Compte tenu de la gravité du problème de sécurité, la faille BadUSB étant considérée comme quasi incorrigible, les deux chercheurs n'avaient pas donné de détails techniques.

C'est désormais chose faite. Procédant par rétro-ingénierie, la technique consistant à comprendre le fonctionnement d'un système, les chercheurs Adam Caudill et Brandon Wilson ont publié sur le service d'hébergement GitHub un code d'attaque tirant partie de cette faille. Le but est de mettre les fabricants sous pression afin qu'ils résolvent le problème pour ne pas laisser des millions d'utilisateurs en position de vulnérabilité, rapporte le site Wired.

«Nous estimons que tout cela devrait être public. Cela ne devrait pas être caché. Nous publions donc tout ce que nous avons», a déclaré Adam Caudill, lors de la conférence Derbycon sur le hacking, à Louisville, dans le Kentucky, la semaine dernière.

Les deux chercheurs ont notamment reprogrammé le firmware d'un périphérique USB vendu par la firme taïwanaise Phison, l'un des leaders dans la fabrication d'USB. Dans un des cas, la clé USB était par exemple capable d'usurper l'identité d'un clavier afin d'effectuer des commandes malveillantes sur l'ordinateur de la victime.

Il n'est a priori pas possible de se protéger contre ces attaques, car les solutions de sécurité ne peuvent pas accéder au firmware exécuté sur le périphérique USB. De plus, la détection d'un logiciel malveillant est difficile car le périphérique infecté n'apparaît que comme un nouveau dispositif branché.