Malware : la menace BadUSB devient tangible

Chercheurs en sécurité pour la firme américaine SR Labs, Jakob Lell et Karsten Nohl avaient surpris lors de la conférence Black Hat de Las Vegas en présentant un redoutable malware nommé BadUSB et capable de s’attaquer à tout périphérique USB pour en faire un dispositif de piratage.

S’implantant directement dans le firmware, il peut rester caché longtemps ; les antivirus et les formatages sont inefficaces pour s’en débarrasser. Le problème réside dans la façon dont l’USB est conçu : sur la plupart des périphériques aujourd’hui commercialisés, il est possible de reprogrammer le micrologiciel sans restriction… et ainsi de supprimer, de modifier ou d’ajouter des fonctionnalités, sans éveiller les soupçons des utilisateurs.

Lors de leur intervention à la Black Hat, Jakob Lell et Karsten Nohl avaient souligné que leur POC (« proof-of-concept » ou « preuve de faisabilité ») s’appliquait non seulement les supports de stockage, mais aussi à tous les appareils connectables à un PC par USB. C’est-à-dire des smartphones, des claviers ou encore des souris.

En reprogrammant tous ces appareils, les deux chercheurs ont pu détourner du trafic Internet, modifier des paramètres DNS et même lancer des tâches directement dans l’interpréteur de commandes. Espérant que les constructeurs travailleraient sur cette vulnérabilité (visiblement déjà exploitée par la NSA avec la méthode Cottonmouth à laquelle il est fait référence dans les documents d’Edward Snowden), ils n’avaient pas publié leur POC.

Face à l’attentisme des principaux intéressés (aucun correctif n’a été recensé à ce jour), deux autres chercheurs ont pris les choses en main en publiant le code d’une attaque expérimentale s’appuyant sur BadUSB. Adam Caudill et Brandon Wilson assument pleinement cette transparence. Ils expliquent que leur démarche « a largement été guidée par le fait que SR Labs ne voulait pas publier son matériel« . Et d’ajouter : « Si vous arrivez à démontrer qu’il y a une faille, alors vous devez offrir aux gens la possibilité de s’en protéger« .

Leurs travaux se sont concentrés sur la puce Phison 2251-03 – très répandue dans les périphériques USB – avec à la clé deux firmwares distincts. Le premier ajoute une fonctionnalité aux clés USB : il crée une partition cachée afin de démontrer que des données peuvent facilement être dissimulées à l’insu des utilisateurs. Le second modifie le mécanisme de protection par mot de passe de sorte que n’importe quelle chaîne de caractères sera acceptée.

Adam Caudill et Brandon Wilson précisent que ce deuxième firmware ne fonctionne que si l’utilisateur n’a pas encore défini son propre mot de passe ; ce qui limite les risques. C’est d’ailleurs leur objectif : « Plutôt que de s’enterrer dans un statu quo, nous préférons communiquer clairement sur le problème sans pour autant générer de menace pour les utilisateurs« .

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous tous les secrets de l’USB ?

Crédit photo : David Feugey – Silicon.fr