Deux chercheurs en sécurité ont mis au point un logiciel malveillant qui profite d’une vulnérabilité critique dans l’USB… Ils présenteront leur inquiétante trouvaille à la conférence BlackHat, la semaine prochaine.
Ce sont deux chercheurs en sécurité informatique allemands, Karsten Nohl et Jakob Lell, qui ont découvert la faille et qui ont développer un malware exploitant la vulnérabilité. Cet outil qui sera présenté au BlackHat porte le doux nom évocateur de BadUSB. Et pour cause : après avoir analysé durant des mois le firmware de plusieurs périphériques USB, ils ont réussi à les reprogrammer pour y charger leur propre code. Ils ont remarqué que de nombreux contrôleurs USB, notamment ceux que l’on trouve sur des clés USB populaires, ne disposent d’aucune protection contre une éventuelle reprogrammation de leur logiciel interne.
Ils ont ainsi pu, par exemple, faire croire à un PC auquel ils ont branché une clé USB qu’il s’agissait en réalité d’un clavier USB. Mieux, ils sont parvenus à émuler des frappes sur des touches de ce faux clavier : un cybercriminel potentiel pourrait donc utiliser une clé spécifiquement reprogrammée pour lancer des commandes sur un ordinateur à l’insu de son utilisateur et réaliser des actions malveillantes : extraire des fichiers/données privées de la machine, y installer un logiciel malveillant, changer les DNS, rediriger du trafic, etc… et même, comble du vice, infecter ensuite d’autres périphériques USB connectés plus tard sur la machine ! Les auteurs ont même prouvé qu’il était possible, avec BadUSB, d’infecter l’ordinateur avant le démarrage de l’OS grâce à une clé ou un disque dur USB connecté à une machine éteinte… en modifiant son Bios, par exemple.
Actuellement, il n’existe aucune parade contre cette attaque. Votre antivirus ne détectera jamais le logiciel malveillant écrit à la place du firmware légitime d’une clé. Cela en fait un cas à part, d’un rare niveau de dangerosité ! De plus, il est impossible d’éradiquer le malware injecté au sein du firmware du périphérique via un simple logiciel de sécurité, même si la menace a été détectée. Une fois la machine infectée nettoyée, elle sera de nouveau infectée si le périphérique malveillant est connecté…
Superbe article ! En tout cas, ça craint !
Les commentaires sont fermés.