Une clé USB infectée
Karsten Nohl et Jakob Lell, des chercheurs en sécurité informatique pour la firme SR Labs, vont présenter à la conférence Black Hat la semaine prochaine un malware capable d’infecter le firmware de clés USB, selon Wired. Nommé BadUSB, il est invisible à l’utilisateur et ineffaçable depuis un système grand public classique. Le code malveillant permet de prendre le contrôle de l’ordinateur, modifier ses fichiers ou rediriger le trafic Internet de la machine en changeant les serveurs DNS accédés, tout cela à l’insu de l’utilisateur. Le problème est que la présence du malware dans le firmware signifie qu’un reformatage de la mémoire est insuffisant pour l’effacer et il peut aussi empêcher la mise à jour du firmware par le fabricant, ce qui lui permettrait en théorie de résider dans la clé USB à tout jamais.
Le port USB est une des grandes failles de sécurité de votre machine
L’idée d’infecter un firmware est loin d’être nouvelle et nous savons que la portée d’une attaque serait importante (cf. « badBIOS, le malware dont l’existence même fait polémique »). La différence aujourd’hui est que BadUSB est un proof-of-concept convaincant, parce qu’il est très avancé. Le papier qu’ils vont présenter laisse penser qu’une personne qui souhaite à tout prix sécuriser une machine ou un réseau doit bannir l’utilisation des ports USB ou être très vigilant quant à leur utilisation.
Un problème d’une portée limitée pour l’instant, mais qui doit faire bouger les industriels
Le problème est qu’il n’y a aucun standard pour protéger le firmware des clés USB, aucun système pour contrôler le code qui est lancé, aucune méthode grand public pour s’assurer qu’il n’abrite pas un malware qui va infecter l’ordinateur et se propager sur Internet ou sur les autres clés USB qui seront branchées sur cette machine. Selon les chercheurs, il serait même possible d’infecter les firmwares d’autres périphériques USB comme des souris, clavier, scanner ou disques durs externes (cf. « Des scanners chinois infectés par des malwares »).
Dans les faits, il convient néanmoins de prendre du recul. Si la démonstration est impressionnante, elle demande de sérieuses connaissances qui ne sont pas à la disposition de n’importe quel pirate. L’attaque est aussi un proof-of-concept, ce qui signifie qu’elle n’a pas encore été détectée dans la nature et qu’elle reste limitée à un cadre académique. Ce genre de papier doit néanmoins faire réagir les fabricants qui peuvent s’unir pour la conception d’un standard destiné à protéger le consommateur. Or pour l’instant, les industriels n’ont tout simplement pas envie de prendre ce problème sérieusement.
- Comparatif clés USB 3.0 : 33 modèles testés