Deux chercheurs découvrent une faille "grave" dans l'USB. Faut-il pour autant devenir parano ?

Pourquoi la sécurité de l'USB est profondément compromise ? titre Wired, de manière assez alarmiste. Depuis hier soir, la presse ne mâche pas ses mots face à une découverte plutôt surprenante : nos périphériques USB seraient tout à coup devenus menaçant pour nos ordinateurs.

Voyons déjà ce qui a été découvert, techniquement parlant. Deux chercheurs en sécurité -Karsten Nohl et Jakob Lell- sont parvenus à reprogrammer le firmware de plusieurs périphériques USB, et à y installer un programme malveillant. Cette technique permet alors d'agir sur l'ordinateur sur lequel il est connecté : simuler des commandes d'un clavier, reprogrammer les DNS, ou encore modifier des fichiers installés sur la clef USB. L'avantage de cette technique, c'est qu'elle est pratiquement invisible : un antivirus ne sait pas scanner les firmwares et l'utilisateur est loin de se douter que sa souris ou son clavier soient en fait contrôlés par un tiers. A partir du moment où un périphérique se fait passer pour un clavier, il peut potentiellement presque tout faire sur votre ordinateur !

Nos deux chercheurs se veulent assez alarmistes, et estiment donc que la sécurité de l'USB est largement compromise. Vous ne pouvez plus faire confiance à un périphérique USB rabachent-ils en boucle depuis leurs découverts. Il faut dire que ces derniers bossent chez Research Labs, une firme allemande qui n'a d'autres intérêt que de vendre des solutions de protection. Mais cette fois, selon Nohl, il n'existerait aucune solution viable pour détecter l'infection. Si l'on sait analyser les fichiers présents sur une clef USB, il est très difficile de remonter dans le firmware, sauf à passer des heures en rétro-ingénierie.

Maintenant, en tant qu'utilisateur, on se demande logiquement si l'on doit réellement s'inquiéter ou pas. La réponse de l'USB Implementers Forum donnée à Wired est la suivante : Les consommateurs devraient toujours s'assurer que leurs appareils proviennent d'une source fiable et que ces sources de confiance (et elles-seules) interagissent avec leurs appareils En clair, si l'on vous donne une souris ou une clef USB d'une provenance un peu louche, évitez des les installer sur votre machine. On en revient en fait au problème fondamental en informatique, à savoir l'accès à la machine. Cette notion d'autorisation d'accès prend d'ailleurs un sens particulier avec l'USB. En effet, cette technologie se veut plug & play, et lorsque vous branchez un clavier à votre Mac, vous n'avez pas envie d'installer un pilote spécifique ou de donner un code pour appairer le périphérique. Les ordinateurs font d'office confiance à ces appareils, qui peuvent être des modems, des clefs USB, des disques durs ou des périphériques de saisie/pointage. Potentiellement, si Logitech -par exemple- était une société malveillante, elle pourrait très bien programmer ses souris et ses claviers pour réaliser certaines actions dans votre dos. Savoir identifier son fournisseur comme fiable reste donc un problème de confiance avant-tout.

L'autre problématique concerne la possibilité de mettre à jour un firmware d'un périphérique, et c'est d'ailleurs là que la faille est la plus inquiétante. Un tiers (comme le mec de l'IT) pourrait donc vous piquer votre souris et la reprogrammer discrètement pour lui installer un programme malveillant. Les constructeurs de périphériques USB ont-ils été trop laxistes sur ce point ? Ne devraient-ils pas tous chiffrer et mieux protéger l'accès à cette mémoire reprogrammable ? Nous devrions avoir des réponses assez rapidement des intéressés. Ce genre de découverte va peut-être pousser la norme à évoluer et à mieux protéger les périphériques de ces updates sauvages. Les chercheurs sont apparemment parvenus à modifier le programme interne de boitiers de grandes marques, même si l'opération n'a apparemment pas été aussi facile qu'il n'y parait.

Comme toujours, il convient donc de rester mesuré : oui, potentiellement, tout périphérique connecté à son ordinateur -modem, souris, clavier, clefs USB- peut représenter un risque pour la machine. Pour autant, acheter une souris Logitech, un clavier Apple ou une clef USB SanDisk ne va certainement pas transformer votre Mac en zombie. Du côté des grandes entreprises, cette découverte va en revanche peut-être changer certaines politiques internes liées aux périphériques et amener les administrateur à prendre certaines mesures supplémentaires (dans les banques, par exemple, les ports USB sont souvent déjà condamnés...).

Tous les détails de BadUSB (le nom donné à la faille) seront communiqués à la prochaine BlackHat.