Le code capable de corrompre n'importe quel équipement USB mis en ligne
[Actualisé] Deux chercheurs ont découvert que l'USB, qui est universellement utilisé en informatique pour connecter des appareils et même transférer des données, présente une faille de sécurité grave, inhérente à son design. Ils sont parvenus à modifier le firmware (logiciel interne) d'un appareil pour lui faire exécuter du code malicieux intraçable. Deux autres experts en sécurité sont parvenus à recréer ce code malicieux et l'ont mis en ligne, à disposition de tous.
Julien Bergounhoux
Mis à jour
03 octobre 2014
Les risques de sécurité liés aux transferts de fichiers via USB, et notamment par clés USB, sont connus depuis longtemps. Mais le danger posé par ces connexions est en réalité bien pire qu'on ne le pensait. Après plusieurs mois de recherche, deux experts travaillant pour le cabinet SR Labs ont découvert qu'il est possible de compromettre la technologie USB en elle-même de manière pratiquement indétectable. Sur le site américain Wired, Karsten Nohl et Jakob Lell expliquent qu'il est possible de reprogrammer le firmware des appareils USB pour y cacher du code malicieux. Une pratique contre laquelle il n'existe pas de parade.
Pour le démontrer, ils ont créé un malware baptisé BadUSB. Celui-ci est installé sur un appareil, qui, une fois connecté à un ordinateur par USB, peut en prendre le contrôle, modifier des fichiers de manière indétectable, rediriger son trafic Internet, etc. Cette faille de sécurité ne concerne pas seulement les clés USB mais n'importe quel objet utilisant une connexion de ce type : clavier, souris, imprimante, smartphone, et bien d'autres.
C'est parce que BadUSB n'est pas stocké sur la mémoire flash des appareils concernés (là où se trouvent par exemple les fichiers d'une clé USB) mais dans leur firmware qu'il est très difficile de le détecter, de l'effacer et même d'empêcher une attaque, à moins d'interdire complètement l'utilisation de connexions USB. C'est un problème dans la conception même de la norme USB qui est ici démontré. Faute d'une évolution de la technologie, il ne sera pas possible de colmater cette brèche. Les deux chercheurs présentent leurs travaux lors de la conférence Black Hat de Las Vegas, qui se déroule du 2 au 7 août.
[Actualisation 3/10/2014] : Deux autres experts en sécurité, Adam Caudill et Brandon Wilson, ont réussi à recréer BadUSB par reverse engineering à partir des informations fournies lors de la présentation de Karsten Nohl, le chercheur qui avait lancer l'alerte sur l'existence de cette faille en août dernier. Mais alors que Nohl et Lell n'avaient pas publié leur code car ils estimaient la faille de sécurité très difficile à réparer, Caudill et Wilson n'ont pas hésité à le mettre à disposition de tous sur le site GitHub. Leur raisonnement ? Cette publication forcera les fabricants à combler cette faille plus rapidement. Une logique difficilement justifiable quand on sait que c'est la norme USB elle-même qui va devoir évoluer afin de sécuriser le firmware mis en cause. Dans l'intervalle, chaque périphérique USB, et notamment les clés USB très utilisées pour échanger des informations, représente un risque de sécurité considérable que les entreprises comme les particuliers vont devoir prendre en compte... Sans pouvoir y faire grand chose, si ce n'est les interdire complètement.
La présentation d'Adam Caudill et Brandon Wilson lors de la DerbyCon :
SUR LE MÊME SUJET
Le code capable de corrompre n'importe quel équipement USB mis en ligne
Tous les champs sont obligatoires
0Commentaire
Réagir