Passer au contenu

Un code pour exploiter la mégafaille USB téléchargeable sur Internet

Deux chercheurs en sécurité ont fait de nouvelles démonstrations sur la faille BadUSB et publié leur code source sur le web. Mais ils disent que c’est pour une bonne cause : faire bouger les fabricants.

Vous souvenez-vous de « BadUSB », cette terrible faille de sécurité qui permet de transformer n’importe quelle clé USB en un vecteur de malveillance ? Cette brèche a été décelée en août dernier par les chercheurs en sécurité Karsten Nohl et Jakob Lell de Security Research Labs et présentée lors de la conférence BlackHat à Las Vegas. Elle s’appuie sur le fait que la plupart des firmwares des accessoires USB peuvent être reprogrammés pour y insérer un autre code. En particulier, il est possible de faire passer une clé USB pour un clavier et envoyer des commandes à l’ordinateur. Ou encore de transformer un smartphone en interface réseau pour intercepter du trafic.

Les deux experts de SRLabs ont choisi de ne pas publier les détails techniques de leurs démonstrations, car ils estiment que cette faille est très difficile à corriger : d’une part, trop d’objets USB sont actuellement en circulation, et d’autre part les constructeurs manquent de volonté pour prendre le problème à bras le corps.

Deux autres chercheurs en sécurité viennent maintenant de pousser le bouchon un peu plus loin. La semaine dernière, à l’occasion d’une conférence, Adam Caudill et Brandon Wilson ont à leur tour montré comment les accessoires USB pouvaient être détournés. Ils ont décortiqué par rétro-ingénierie le firmware d’un contrôleur USB de Phison, une société taïwanaise spécialisée dans la fourniture de ce type de composants, que ce soit pour des clés USB, des cartes mémoire ou des disques durs SSD. Le contrôleur en question s’appelle 2251-03 et serait « le plus couramment utilisé dans le marché », selon Adam Caudill.

Le matériel étudié pour les deux chercheurs en sécurité .
Le matériel étudié pour les deux chercheurs en sécurité . – Le matériel étudié pour les deux chercheurs en sécurité .

Les deux compères ont fait trois démonstrations : la reprogrammation complète du firmware de Phison, la création d’une partition cachée sur le contrôleur et le contournement du mot de passe d’une clé USB. Puis, dans la foulée, ils ont publié le code lié à leurs démonstrations sur le site Github, complété d’un wiki pour expliquer comment l’utiliser. Pour eux, cette publication permettra aux utilisateurs de prendre conscience des risques potentiels, d’aider les experts en sécurité de trouver des parades et d’obliger les fabricants à se pencher enfin sur la question. Car depuis août dernier, « ils n’ont montré aucune volonté d’essayer de résoudre ces problèmes », souligne Adam Caudill dans une note de blog.  

Evidemment, cela a généré une certaine émotion dans l’univers de la sécurité. Est-ce que cela n’était pas un peu imprudent ? Faudra-t-il craindre une vague d’attaques USB ?  Pas vraiment, estiment les chercheurs, car leurs démonstrations n’ont rien de méchant : il n’y a ni injection de code malveillant, ni réplication automatique. Par ailleurs, seule une petite élite d’experts pourra réellement utiliser ces sources pour les adapter, car « écrire du code pour ces appareils est loin d’être facile ». En somme, ceux qui veulent le faire et qui en ont les capacités le pouvaient déjà avant.

Source :

La présentation d’Adam Caudill et Brandon Willson.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn