Un démonstrateur de piratage USB rendu public
Un chercheur a montré cet été, lors de la conférence Black Hat, comment infecter n’importe quel périphérique USB avec des logiciels malveillants très discrets. Un démonstrateur vient d’être rendu public.
Viennent-ils d’ouvrir une monstrueuse boîte de Pandore ? Les chercheurs en sécurité Adam Caudill et Brandon Wilson ont profité de la conférence Derbycon, qui se déroulait aux Etats-Unis la semaine dernière, pour rendre public le code qu’ils ont produit afin de montrer qu’il est possible d’infecter n’importe quel périphérique USB avec des logiciels malveillants d’une discrétion redoutable. Ou du moins les périphériques utilisant des microcontrôleurs produits par le taïwanais Phison.
Les deux chercheurs ont ainsi franchi une étape que Karsten Nohl s’était refusé à franchir cet été. Lors de la conférence Black Hat, ce dernier avait en effet monté comment il est possible d’injecter un logiciel malveillant furtif sur des périphériques USB en profitant du caractère reprogrammable de leur logiciel embarqué, leur firmware. De quoi aller bien au-delà de la menace connue des exécutables lancés par Windows à l’insertion d’un périphérique de stockage amovible. Si l’on pense évidemment aux clés USB, d’autres périphériques peuvent être concernés : souris, claviers, smartphones… Et Nohl d’expliquer à l’époque que le périphérique contaminé peut être utilisé pour de nombreuses choses, jusqu’à simuler le comportement d’un clavier et générer des frappes arbitraires. Inséré dans un smartphone, un tel code malicieux pourrait même écouter le trafic s’écoulant de l’ordinateur à Internet via le terminal mobile utilisé comme modem.
Dans un entretien avec nos confrères de Wired, Adam Caudill explique sa démarche : « si l’on veut que cela soit corrigé, il faudra plus que seulement une intervention à Black Hat. » Et d’estimer que « si les seules personnes capables de [détourner ainsi des périphériques USB] sont celles disposant d’importants budgets, les constructeurs ne feront rien » pour corriger la situation. Une allusion pas même voilée aux activités de certaines agences de renseignement, dont la NSA.