La faille de sécurité qui touche des millions de périphériques USB rendue publique

En août dernier, Guillaume vous parlait d'une grave faille de sécurité qui touchait les clefs USB et qui avait fait l'objet d'une démonstration pas vraiment publique à la conférence de sécurité Black Hat. L'auteur de la découverte ne souhaitait pas dévoiler aux yeux de tous le moyen d'utiliser la faille à cause du risque énorme que cela faisait peser sur les systèmes informatiques. Mais ce n'était pas l'avis d'Adam Caudill et Brandon Wilson, deux chercheurs en sécurité, qui ont rendu public sur Github le fruit de leurs trouvailles.

Pour réussir à exploiter la faille, ils ont agi de la même manière que les premiers chercheurs : en prenant le firmware d'un microcontrôleur USB (de chez Phison, l'un des plus répandus que l'on trouve dans tout un tas de périphériques : du clavier à la clef USB en passant par les Furby connectés) auquel ils ont fait subir l'épreuve de la rétroingéniérie. Et ce qu'il est possible de faire avec un firmware modifié fait plutôt froid dans le dos. D'une part, l'OS est incapable de détecter qu'une modification est intervenue sur le firmware et même le formatage de la clef USB ou le reset du périphérique ne changera rien.

D'autre part, les chercheurs ont montré des exemples de ce qu'il est possible de faire : modifier le firmware d'un clavier pour taper du texte à la place de l'utilisateur (ou, on imagine, d'agir comme un keylogger), cacher des fichiers (virus par exemple) dans le firmware ou désactiver une fonction de sécurité du périphériques. Les deux larons hésitent même à publier publiquement un code qui permettrait de véroler tous les fichiers qui entrent et qui sortent de la clef mais aussi d'infecter toutes les clefs USB reliées à l'ordinateur. Du lourd !

Comment colmater cette faille de sécurité ? La seule solution serait la mise à jour de tous les péripériques USB pour empêcher la modification du firmware par un programme qui ne posséderait pas la signature du constructeur. Allez demander à Tata Jeanette de mettre à jour sa clef USB ! C'est pour cette raison que les premiers chercheurs avaient refusé de dévoiler l'exploit. En tout cas, il semblerait que la NSA soit au courant de cette faille et l'utilise. (Source : Wired)