Clés USB : Une grosse faille de sécurité rendue publique

Les clés USB seraient vulnérables et comporteraient une importante faille de sécurité difficile à corriger

Les détails d’une importante faille qui touche les clés USB sont maintenant connus. Démontrée cet été par deux chercheurs allemands travaillants chez Security Research Labs lors de la dernière conférence Black Hat à Las Vegas, elle permet de corrompre n’importe quel périphérique USB afin d’y injecter des malwares pratiquement indétectables.

Cacher des malwares dans le firmware d’une simple clé USB

La faille, nommée BadUSB, permet techniquement d’injecter dans l’ordinateur du code qui va être exécuté de manière automatique par celui-ci. Il devient alors possible de prendre le contrôle total de la machine dans laquelle la clé USB est insérée, ainsi que d’y installer des programmes malveillants, voler de nombreuses données ou encore surveiller son trafic sur internet, le tout à l’insu de son propriétaire.

Une faille à priori impossible à corriger

Karsten Nohl, fondateur et responsable technique de la société berlinoise Security Research Labs, avait décidé de ne pas révéler dans les détails cette dangereuse faille au public. De par sa nature elle-même, elle est indétectable par les solutions de sécurité, mais elle n’est pas non plus corrigeable (en tout cas pas par l’utilisation d’un simple correctif).

C’est la semaine dernière que la faille BadUSB a été révélée par deux autres chercheurs en sécurité informatique. Réussissants en grande partie à reproduire le problème, ils ont décidé d’en révéler les détails au public afin de contraindre les constructeurs à réagir et à repenser le fonctionnement des logiciels qu’ils utilisent pour les clés USB. Ils ont publié plusieurs méthodes d’exploitation de la faille sur GitHub, en accès libre donc.

La solution : mettre la pression sur les constructeurs

« Si les seules personnes capables d’utiliser cette faille sont les entités disposant de budgets importants, le problème ne sera jamais corrigé », ont affirmé les deux chercheurs dans le magazine américain Wired. Les deux chercheurs pensent évidemment à certaines entités comme la NSA, qui pourraient utiliser de telles failles tant que les industriels ne s’y intéressent pas : la faille est maintenant révélée à tous et il va leur falloir la corriger avant qu’elle ne devienne un problème qui touche le grand public.