Enorme faille de sécurité sur l’USB

Deux chercheurs en sécurité informatique allemands vont présenter une découverte pour le moins inquiétante lors de la prochaine conférence BlackHat (événement unique qui rassemble officiellement des experts des agences gouvernementales américaines et des industries, américaines ou non, avec les hackers les plus respectés de l’« underground »). 

Karsten Nohl et Jakob Lell ont développé un logiciel baptisé BadUSB, qui permet de reprogrammer le firmware des périphériques USB. En effet, après plusieurs mois passés à étudier ce fameux firmware, ils ont remarqué que de nombreux contrôleurs USB ne proposent aucune protection contre la réécriture de leur logiciel interne. Ils ont ainsi réussi à tromper un ordinateur en lui faisant croire qu’un clavier usb était branché alors qu’il s’agissait en fait d’une simple clé USB. Ils sont même parvenus à simuler des frappes sur les touches de ce clavier virtuel.

Il est donc possible avec un logiciel bien fait, d’utiliser une clé usb pour infecter l’ordinateur de la victime en installant un logiciel malveillant, procéder à une redirection du trafic en changeant les DNS, voire même, infecter tous les périphériques USB qui viendraient par la suite se connecter à l’ordinateur. Les deux chercheurs ont également démontré qu’il est possible d’infecter l’ordinateur avant le démarrage du système d’exploitation en modifiant le bios.

Mais le plus inquiétant, c’est qu’il est à l’heure actuelle, impossible de corriger la faille. De plus, aucun antivirus ne va détecter le logiciel malveillant écrit à la place du firmware légitime d’une clé. Par ailleurs, même si vous réinstallez votre OS à la suite de l’infection, le simple fait de rebrancher la clé USB réinfecte l’ordinateur. Et une fois l’ordinateur infecter, il peux infecter tous vos périphériques, de la webcam USB à l’imprimante. « Une fois qu’un ordinateur a été infecté, jamais plus on ne pourra faire confiance à l’ordinateur et ses périphériques USB » indiquent les auteurs.

C’est la semaine prochaine à Las Vegas que les chercheurs vont détailler leur méthode et parler de leurs outils. Se sera l’occasion d’en apprendre un peu plus sur cette faille béante de l’USB.

 

source : 01net

Partager cet article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *