Les périphériques USB sont-ils mauvais pour la santé de nos ordinateurs ? C'est la conviction de Karsten Nohl et Jakob Lell, chercheurs pour SR Labs, qui ont mis au jour une faille qui ressemble à un « tour de magie » : il est en effet impossible de savoir d'où provient le virus, s'alarment ces spécialistes en sécurité dans Wired. Ils ont ainsi créé un maliciel de test afin de démontrer la dangerosité de leur découverte. BadUSB peut prendre le contrôle d'un PC, altérer des fichiers installés depuis la clé (ou n'importe quel support de stockage externe), et même rediriger le trafic web de la victime en modifiant les réglages DNS.
BadUSB — et la faille, donc — est présent non pas dans la mémoire du support, mais dans le firmware qui en contrôle les fonctions de base. La découverte de cette vulnérabilité est le fruit de plusieurs mois d'ingénierie inverse sur le firmware qui gère la communication entre le périphérique et son hôte. Il se trouve que ce firmware peut être reprogrammé pour masquer un virus — et cela touche aussi bien les supports de stockage que les souris, les claviers, et même les smartphones dotés d'un port USB. La NSA a très bien pu en tirer parti, soufflent les spécialistes.
Le code malveillant reste invisible mais bien présent, même si la clé semble ne rien transporter. Aucune solution n'a été trouvée par les deux chercheurs, si ce n'est de s'interdire d'utiliser un périphérique USB, ce qui n'est guère envisageable… à moins de se contenter des périphériques que l'on possède depuis longtemps et dans lesquels on a confiance. C'est d'ailleurs le discours de l'USB Implementers Forum, qui supervise le standard USB, en attendant une solution plus pérenne.
Les chercheurs dévoileront le détail de leur découverte la semaine prochaine, durant une conférence Black Hat à Las Vegas.
