Une importante faille de sécurité touchant les clés USB rendue publique
▻http://www.lemonde.fr/pixels/breve/2014/10/03/une-importante-faille-de-securite-touchant-les-cles-usb-rendue-publique_4499
L’existence d’une faille informatique majeure touchant l’ensemble des clés USB n’est pas nouvelle : elle avait été révélée fin juillet. Mais jusqu’à présent son découvreur avait gardé en grande partie secrète la manière dont fonctionne cette faille, baptisée « BadUSB ». La faille est majeure : en l’utilisant il est possible de prendre le contrôle total d’un ordinateur dans lequel elle est insérée, d’y installer des programmes espions ou de surveiller son trafic Internet à l’insu du propriétaire.
Plus problématique encore, la faille n’est, selon son découvreur, pas corrigeable – et en tout cas pas par l’utilisation d’un simple correctif. Elle se niche à un niveau fondamental dans le logiciel faisant fonctionner la totalité des clés USB sur le marché. C’est pourquoi il avait choisi de ne pas rendre publique la méthodologie de fonctionnement de la faille, expliquait-il cet été.
Mais la semaine dernière, deux autres chercheurs en sécurité informatique qui sont parvenus à reproduire en grande partie le problème ont choisi de publier leurs travaux, arguant qu’il s’agit de la seule manière de contraindre les constructeurs de clés USB à repenser le foncitonnement des logiciels qu’ils utilisent. « Si les seules personnes capables d’utiliser cette faille sont les entités disposant de budgets importants [comme la NSA, NDLR] le problème ne sera jamais corrigé », ont-ils affirmé auprès du magazine américain Wired.
