La norme USB présente une faille de sécurité fondamentale qui permet à un attaquant de prendre le contrôle de n’importe quel appareil auquel elle est connectée, qu’il s’agisse d’un PC ou d’un Mac, affirment des chercheurs en sécurité dans un article effrayant publié par Câblé.
Décrivant la preuve de concept que Karsten Nohl et Jakob Lell prévoient de présenter à la conférence Black Hat la semaine prochaine, ils affirment que cette faiblesse est fondamentale pour le fonctionnement de l’USB. Plutôt que de stocker des fichiers malveillants sur un périphérique USB, les chercheurs ont réussi à pirater la puce du contrôleur USB qui permet à un périphérique USB de communiquer avec un ordinateur, en modifiant son micrologiciel. Cela signifie qu’il peut permettre de compromettre absolument n’importe quel périphérique USB, d’une clé USB à un clavier.
« Ces problèmes ne peuvent pas être corrigés », explique Nohl, qui se joindra à Lell pour présenter les recherches lors de la conférence sur la sécurité Black Hat à Las Vegas. « Nous exploitons la manière même dont l’USB est conçu. »
« Vous pouvez le confier à votre service de sécurité informatique, ils l’analysent, suppriment certains fichiers et vous le renvoient en vous disant qu’il est propre, (mais) le processus de nettoyage ne touche même pas les fichiers dont nous parlons. »
Contrairement à la plupart des logiciels malveillants, qui ciblent Windows, cet exploit permet à n’importe quel périphérique USB d’émuler un clavier ou une souris, prenant ainsi le contrôle total des PC et des Mac.
Comme il est indétectable, l’exploit pourrait être ajouté silencieusement à une clé USB lorsqu’elle est insérée dans un PC, puis infecter le prochain appareil auquel il est connecté. Selon les chercheurs, il n’existe aucune protection contre cette méthode d’attaque, à moins de ne jamais partager les périphériques USB, c’est-à-dire de les traiter comme on traiterait une aiguille hypodermique : n’utiliser qu’une seule clé dont on sait qu’elle est neuve, et ne pas envisager de permettre à quelqu’un d’autre de la partager.
FTC : Nous utilisons des liens d’affiliation automatiques générant des revenus. Plus.