Bien connue des experts sécurité, la conférence Black Hat aura lieu comme chaque année en août à Las Vegas. Cette année 2 chercheurs Allemands, Karsten Nohl et Jakob Lell, ont prévu d’y présenter lors d’une conférence le 7 Août un logiciel malveillant capable de compromettre le firmware des contrôleurs USB, rien que ça. Concrètement leur solution nommée « BadUSB » permet de réécrire le firmware des périphériques vulnérables, par exemple pour faire reconnaître une simple clé USB comme un clavier. Et à partir de là il devient simple d’injecter des commandes de type clavier et faire faire ce que l’on veut ou presque à l’ordinateur sur lequel est branché ce périphérique.
Cette annonce fait déjà grand bruit, car les impacts en terme de sécurité sont énormes. Les périphériques de stockage USB étaient déjà considérés comme dangereux car pouvant contenir du code malveillant, et étant souvent à l’origine de fuites de données, intentionnelles ou non. Certains de nos clients limitent leur utilisation, voire les interdisent carrément. Mais avec ce type de faille on pourrait « transformer » une clé USB, potentiellement interdite par une politique de sécurité, en un clavier USB, à priori inoffensif et donc autorisé par cette même politique. Ce « clavier émulé » pourrait alors générer des commandes spécifiques, par exemple pour envoyer des fichiers vers une destination externe, ou installer un malware.
D’après les 2 chercheurs un « grand nombre » de périphériques USB sont concernés, cela dépend principalement du type de contrôleur utilisé par le fabricant. J’imagine que nous en saurons plus après leur conférence, mais les conséquences font déjà froid dans le dos. Principalement parce qu’aujourd’hui il n’existe aucun moyen de protection contre ce type d’attaque : les antivirus ne sont pas capables de scanner le contenu du firmware des périphériques USB, et il semble peu probable que les fabricants puissent proposer une mise à jour des firmwares du matériel concerné pour combler cette vulnérabilité (en tout cas pas pour tous).
Même bannir les périphériques de stockage USB ne serait pas suffisant, car tout type de périphérique USB est concerné. Karsten Nohl et Jakob Lell ont par exemple compromis avec succès un casque USB avec leur logiciel. Pire, une fois BadUSB implanté sur un ordinateur, il pourrait très bien lui-même infecter chaque périphérique USB se connectant à ce PC et se répandre à grande vitesse. C’est donc la manière même dont nous utilisons les périphériques USB qui risque bien d’être remise en cause…