Attaque par clé USB, un code source diffusé

L’été dernier deux chercheurs expliquaient comment, via une clé USB trafiquée, il était possible de lancer une attaque via n’importe quel prise USB. Deux mois plus tard, un code de démonstration est mis en ligne.

L’information est connue depuis pas mal de temps chez les chercheurs en sécurité informatique et certains groupes de pirates très pointus. L’été dernier, lors du Black Hat de Las Vegas, Karsten Nohl et Jakob Lell, ingénieurs chez Security Research Labs, expliquaient comment n’importe quelle prise USB pouvait permettre de lancer une attaque dans un ordinateur. Par exemple, faire passer une clé USB pour un clavier et lancer des commandes. Une technique que ZATAZ Web TV vous présentait en décembre 2013.

Les deux chercheurs n’avaient pas souhaité diffuser les outils et codes permettant ce type d’infiltration. Deux mois plus tard, deux autres chercheurs ont décidé d’agir autrement. Adam Caudill et Brandon Wilson considèrent qu’il faut faire réagir les constructeurs et ont mis en ligne un PoC, un Proof of Concept.

Une bonne idée ? L’avenir nous le dira, d’autant que l’entreprise Taïwanaise montrée du doigt dans ce second cas, Phison, nie la faille. Lors de leurs démonstrations, les deux chercheurs ont émulé un clavier et démontré qu’il était possible de cacher à la vue des outils de sécurité un code malveillant installé sur le support USB. A noter cependant un outil gratuit proposé par G Data qui bloque cette possibilité malveillante.