Les clés USB au service du piratage
Une simple clé USB, doté d’un programme particulier, permettrait de déverrouiller n’importe quel poste de travail.
Si les clés USB ont séduit pour leurs capacités de stockage et simplicité d’utilisation, elles peuvent également s’avérer être des armes de piratage redoutables. SPI Dynamics, une société spécialisée en sécurité informatique, aurait ainsi découvert une faille liée à la technologie USB et qui permet d’ouvrir une session sur une machine protégée par mot de passe à partir d’une simple clé USB. Celle-ci doit cependant avoir été configurée dans ce but à travers un programme spécifique stocké dans sa mémoire.
Le programme exploiterait une faille de type « buffer over flow » (dépassement de la mémoire tampon) pour prendre le contrôle de la machine et offrir des droits administrateur à l’utilisateur de la clé USB « pirate ». Des démonstrations auraient été menées sur des systèmes Windows 2000 et XP. Mais, selon SPI Dynamics, la faille est propre à la technologie USB et non au système d’exploitation. Ce qui suppose que tous les OS qui intègre le protocole USB sont potentiellement vulnérables.
Bloquer les ports USB
SPI Dynamics n’a pas jugé utile d’avertir Microsoft de cette découverte. Darrin Barrall et David Dewey, deux ingénieurs de l’entreprise américaine, doivent présenter leurs travaux à l’occasion de la conférence Black Hat Briefing (du 23 au 28 juillet à Las Vegas). SPI Dynamics ne publiera cependant pas les détails de la faille pour des raisons bien compréhensibles de sécurité.
La sécurisation de l’usage des périphériques mobiles est un problème que nombre d’entreprises de l’industrie informatique commencent à prendre en compte. Et à apporter leurs solutions. Microsoft, notamment, prévoit pour Windows Vista (ex-Longhorn, voir édition du 22 juillet 2005), un système qui permettra à l’administrateur de bloquer les ports USB et d’améliorer la gestion des comptes utilisateurs ainsi que divers outils de protection des données (voir édition du 7 juillet 2005 et du 25 avril 2005).