Deux chercheurs en sécurité ont fait de nouvelles démonstrations sur la faille BadUSB et publié leur code source sur le web. Mais ils disent que c’est pour une bonne cause : faire bouger les fabricants.
Vous souvenez-vous de « BadUSB », cette terrible faille de sécurité qui permet de transformer n’importe quelle clé USB en un vecteur de malveillance ? Cette brèche a été décelée en août dernier par les chercheurs en sécurité Karsten Nohl et Jakob Lell de Security Research Labs et présentée lors de la conférence BlackHat à Las Vegas. Elle s’appuie sur le fait que la plupart des firmwares des accessoires USB peuvent être reprogrammés pour y insérer un autre code. En particulier, il est possible de faire passer une clé USB pour un clavier et envoyer des commandes à l’ordinateur. Ou encore de transformer un smartphone en interface réseau pour intercepter du trafic.
Les deux experts de SRLabs ont choisi de
ne pas publier les détails techniques de leurs démonstrations, car ils
estiment que cette faille est très difficile à corriger : d’une part,
trop d’objets USB sont actuellement en circulation, et d’autre part les
constructeurs manquent de volonté pour prendre le problème à bras le
corps.
Deux autres chercheurs en sécurité
viennent maintenant de pousser le bouchon un peu plus loin. La semaine
dernière, à l’occasion d’une conférence, Adam Caudill et Brandon Wilson
ont à leur tour montré comment les accessoires USB pouvaient être
détournés. Ils ont décortiqué par rétro-ingénierie le firmware d’un
contrôleur USB de Phison, une société taïwanaise spécialisée dans la
fourniture de ce type de composants, que ce soit pour des clés USB, des
cartes mémoire ou des disques durs SSD. Le contrôleur en question
s'appelle 2251-03 et serait « le plus couramment utilisé dans le marché », selon Adam Caudill.
Le matériel étudié pour les deux chercheurs en sécurité .
agrandir la photo
Les deux compères ont
fait trois démonstrations : la reprogrammation complète du firmware de
Phison, la création d’une partition cachée sur le contrôleur et le
contournement du mot de passe d’une clé USB. Puis, dans la foulée, ils
ont publié le code lié à leurs démonstrations sur le site Github, complété d’un wiki
pour expliquer comment l’utiliser. Pour eux, cette publication
permettra aux utilisateurs de prendre conscience des risques potentiels,
d’aider les experts en sécurité de trouver des parades et d’obliger les
fabricants à se pencher enfin sur la question. Car depuis août dernier,
« ils n’ont montré aucune volonté d’essayer de résoudre ces problèmes », souligne Adam Caudill dans une note de blog.
Evidemment, cela a généré une certaine
émotion dans l’univers de la sécurité. Est-ce que cela n’était pas un
peu imprudent ? Faudra-t-il craindre une vague d’attaques USB ? Pas
vraiment, estiment les chercheurs, car leurs démonstrations n’ont rien
de méchant : il n’y a ni injection de code malveillant, ni réplication
automatique. Par ailleurs, seule une petite élite d’experts pourra
réellement utiliser ces sources pour les adapter, car « écrire du code pour ces appareils est loin d’être facile ». En somme, ceux qui veulent le faire et qui en ont les capacités le pouvaient déjà avant.
Source :
La présentation d’Adam Caudill et Brandon Willson.
Aucun commentaire:
Publier un commentaire