-- -- -- / -- -- --
Digital Space

Clés USB? Danger

Clés USB? Danger

L’existence d’une faille informatique majeure touchant l’ensemble des clés USB n’est pas nouvelle : elle avait été révélée fin juillet. Mais jusqu’à présent son découvreur avait gardé en grande partie secrète la manière dont fonctionne cette faille, baptisée « BadUSB ». La faille est majeure : en l’utilisant il est possible de prendre le contrôle total d’un ordinateur dans lequel elle est insérée, d’y installer des programmes espions ou de surveiller son trafic Internet à l’insu du propriétaire.

Plus problématique encore, la faille n’est, selon son découvreur, pas corrigeable – et en tout cas pas par l’utilisation d’un simple correctif. Elle se niche à un niveau fondamental dans le logiciel faisant fonctionner la totalité des clés USB sur le marché. C’est pourquoi il avait choisi de ne pas rendre publique la méthodologie de fonctionnement de la faille, expliquait-il cet été.

Mais la semaine dernière, deux autres chercheurs allemands en sécurité informatique, Karsten Nohl et Jakob Lell, qui sont parvenus à reproduire en grande partie le problème ont choisi de publier leurs travaux, arguant qu’il s’agit de la seule manière de contraindre les constructeurs de clés USB à repenser le fonctionnement des logiciels qu’ils utilisent. Après avoir analysé durant des mois le firmware de plusieurs périphériques USB, ils ont réussi à les reprogrammer pour y charger leur propre code. Car ils ont remarqué que de nombreux contrôleurs USB, notamment ceux que l’on trouve sur des clés populaires, ne disposent d’aucune protection contre une éventuelle reprogrammation de leur logiciel interne.

Pour l’instant, cette faille tout nouvellement dévoilée est peu susceptible de concerner le grand public, mais il est cependant recommandé d’appliquer les règles de précaution classiques concernant les clefs USB : ne pas utiliser une clef dont on ignore la provenance, et appliquer les mises à jour de sécurité sur son ordinateur.

Commentaires
Email
Mot de passe
Prénom
Nom
Email
Mot de passe
Réinitialisez
Email