Et, de façon générale, de toute sorte d’appareils de stockage portatifs: disquettes, lecteurs MP3… mais surtout clés USB, préviennent deux chercheurs en sécurité informatique.
Fin septembre 2014, deux chercheurs ont choisi de publier leurs travaux, comme l’explique Le Monde ce 3 octobre, relançant ainsi l’intérêt pour cette vulnérabilité nichée au coeur des clés USB. L’occasion de relire cet article publié en août.
Elles ont l’air inoffensives, comme ça, quand elles se glissent dans nos poches et nos ordinateurs, en empruntant toute sorte de formes, de tailles et de couleurs. Sauf qu’il n’en est rien: deux chercheurs de sécurité informatique, Karsten Nohl and Jakob Lell, affirment avoir la preuve que les clés USB sont intrinsèquement mauvaises. Et presque bonnes à jeter.
En disséquant pendant plusieurs mois le fonctionnement de ces petits appareils de stockage, ce duo d’experts a en effet découvert qu’il était possible de programmer un logiciel dit «malveillant», ou «malware», dans le code de fonctionnement des clés USB. Celui-là même qui permet l’échange de fichiers entre la clé USB et un ordinateur.
Et pour en apporter la preuve, Karsten Nohl and Jakob Lell ont carrément créé eux-mêmes ce genre de programme, explique Wired, qu’ils ont très judicieusement intitulé «bad usb». Programme qu’ils comptent présenter à l’occasion de la célèbre conférence de sécurité informatique américaine, BlackHat, qui se tient du 2 au 7 août.
Vilaine, vilaine clé USB donc, d’autant plus redoutable que rien, ou presque, ne peut parer à cette exploitation malveillante du code qui les fait tourner, comme l’explique Karsten Nohl, toujours dans Wired:
«Vous pouvez la donner à des spécialistes de la sécurité informatique; ils la scanneront, supprimeront quelques fichiers, et vous la rendront en vous disant qu’elle est “propre”.»
Ni le formatage, ni vos antivirus n’auraient la capacité de détecter ce (…)