Au cœur de l'été, deux chercheurs ont mis en lumière une faille critique dans le protocole USB qui permet à un disque dur externe ou une clé USB de prendre totalement le contrôle d'un ordinateur grâce à un firmware modifié. Les chercheurs s'étaient toutefois bien gardés de donner des détails sur BadUSB, le surnom de cette faille, estimant qu'il serait trop dangereux que tout un chacun puisse transformer sa clé USB en véritable espion.
Deux autres chercheurs ont fait sauter la digue. Après un travail de rétro-ingénierie, Adam Caudill et Brandon Wilson ont identifié la faille et publié sur GitHub toutes les informations pour l'exploiter. Une manière de mettre un gros coup de pied aux fesses aux fabricants pour qu'ils colmatent le protocole USB.
« Si les seules personnes qui [peuvent exploiter la faille] sont celles qui ont de gros budgets (une allusion aux agences de renseignement, ndlr), les fabricants ne vont jamais rien faire », ont fait valoir les chercheurs à Wired.
Lors d'une démo, Caudill et Wilson ont montré une clé USB capable d'enregistrer toutes les frappes du clavier. Même en effaçant tout le contenu de la clé USB, le firmware malicieux reste actif. « Il y a un équilibre précaire entre montrer que quelque chose est possible et le rendre facilement réalisable par n'importe qui », note Caudill.
Plus que jamais, il faudra se méfier avant de brancher une clé USB à son ordinateur. Un correctif demanderait une mise à jour complète du protocole, ce qui ne se fait pas en un claquement de doigts.
