Les clés USB en proie à une faille de sécurité

Aussi étonnant que cela puisse paraître, il est possible de reprogrammer le code d’un périphérique USB et y intégrer un malware. Deux chercheurs en sécurité informatique allemands, Karsten Nohl et Jakob Lell, sont arrivés à mettre au point un logiciel malveillant qui peut être intégré dans des clés USB, via une faille présente sur ce périphérique qui a été baptisé BadUSB. Leurs recherches ont été présentées lors de la conférence BlackHat, qui s’est déroulée du 2 au 7 août dernier. La semaine dernière, deux autres chercheurs en sécurité informatique sont parvenus à reproduire la même vulnérabilité et ont décidé de publier leurs travaux afin de motiver les constructeurs de clés USB à travailler sur le problème.

branchement-clef-usb-securite-depannage-informatique-paris-domicile

Des chercheurs publient leurs travaux

Les deux chercheurs allemands en sécurité ont montré fin juillet 2014 que la quasi-majorité des périphériques USB ne disposaient d’aucune protection contre la reprogrammation de leur code interne. Il est ainsi possible d’y insérer un malware (logiciel malveillant) très simplement, ce qui permet aux pirates de prendre le contrôle du PC sur lequel la clé USB est installée, ou d’aspirer de nombreuses données. Leurs expériences ont montré qu’ils étaient arrivés à tromper l’ordinateur. Ils ont branché une clé USB sur un terminal qui reconnaissait le périphérique comme un clavier USB. Un hacker pourrait donc commander un PC à distance via cette clé USB et lancer diverses opérations, comme accéder à divers contenus, changer des connexions réseau ou infecter d’autres périphériques. Karsten Nohl et Jakob Lell ont également démontré qu’il était possible d’infecter un ordinateur avant sa mise en marche. Les deux chercheurs qui ont publié leurs travaux la semaine dernière indiquent qu’à l’heure actuelle, cette vulnérabilité ne devrait pas toucher le grand public mais qu’il est nécessaire d’appliquer certaines règles comme ne pas utiliser une clé dont on ignore l’origine et d’appliquer les mises à jour de sécurité sur ses terminaux et ordinateurs.

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here