Si vous possédiez un secret qui, s’il était partagé, mettrait en danger des millions de personnes, que feriez-vous ?
C’est le dilemme que vivent Karsten Nohl et Jakob Lell, deux chercheurs en sécurité informatique qui ont découvert une faille affectant tous les appareils USB, puis créé un virus pour l’exploiter.
Leur logiciel malveillant, baptisé BadUSB, fait frissonner. Il est impossible à détecter, impossible à effacer et une fois que l’appareil infecté — une clé, une souris, un appareil photo ou même un téléphone intelligent — est connecté à un ordinateur, celui-ci devient à la merci du virus informatique. Un hacker (pirate) peut alors espionner tous vos faits et gestes numériques, copier vos mots de passe ou encore lancer une attaque informatique depuis votre PC.
BadUSB se cache dans le microprogramme qui permet le fonctionnement d’un appareil USB, un peu comme si le virus de la grippe pouvait s’insérer dans votre ADN. Ainsi, seule une modification de l’architecture informatique USB pourrait immuniser les gadgets.
Nohl et Lell ont dévoilé la faille permettant à BadUSB d’exister à un important manufacturier d’appareils USB. Celui-ci a préféré fermer les yeux, rétorquant qu’un virus était impossible. Sa réaction aurait pu être pire : certaines compagnies poursuivent les hackers qui les mettent en garde contre leurs vulnérabilités informatiques…
Si des chercheurs ont pu créer BadUSB, d’autres pirates ou agences de renseignements moins bien intentionnés pourront le faire aussi — s’ils ne l’ont pas déjà fait.
Afin de mettre de la pression sur les fabricants et protéger le public, les deux scientifiques ont donc rendu leurs travaux publics. Du moins, en partie.
En août dernier, lors de la conférence en sécurité informatique Black Hat, à Las Vegas, Nohl et Lell ont démontré la faisabilité de leur attaque devant une salle comble. Ils n’ont toutefois pas présenté le code qui la rendait possible, par crainte que le virus ne se propage rapidement.
Deux mois plus tard, les centaines de lignes de code derrière BadUSB ne s’en trouvaient pas moins sur le site GitHub. Elles y ont été publiées par Adam Caudill et Brandon Wilson, deux chercheurs qui ont reproduit les travaux de Nohl et Lell. N’importe quel hacker peut désormais copier-coller le tout et utiliser BadUSB pour son propre profit.
«Pour que la faille soit réglée, il faut plus qu’une présentation à Black Hat», a expliqué Caudill au magazine Wired. «Il faut prouver au monde entier que c’est facile à utiliser, que n’importe qui peut le faire. Ça, ça met de la pression sur les manufacturiers pour régler le problème.»
Malgré leurs bonnes intentions, les deux chercheurs n’en ont pas moins mis à risque les centaines de millions de personnes, dont vous, qui utilisent des appareils USB.
En attendant que les fabricants réagissent, vous pouvez toujours installer le correctif également publié par Caudill et Wilson sur GitHub. À condition d’avoir les connaissances requises pour modifier le microprogramme de vos appareils USB et — pour les plus paranoïaques — d’être prêt à sceller vos gadgets favoris avec de la colle à l’époxy pour éviter toute altération physique…
Pour les gens comme vous et moi, le plus simple demeure de brancher uniquement les appareils USB en lesquels vous avez confiance. Et, non, la clé USB trouvée dans la rue n’en fait pas partie.
