Parmi les conseils de sécurité de base qu'il faut toujours garder en tête, il y a ne pas brancher n'importe quelle clé USB à son ordinateur et ne pas raccorder son iPhone au premier chargeur venu. Le protocole USB est touché par une faille critique, BadUSB, difficile à colmater et on a vu qu'il était possible de mettre au point des chargeurs malveillants. Durant la Black Hat 2013, une équipe avait fabriqué un chargeur capable d'injecter du code malicieux dans un terminal iOS.
Le KeySweeper innove puisque ce chargeur en apparence classique est capable d'enregistrer les frappes d'un clavier... sans fil. L'accessoire sait intercepter tout ce qui est tapé sur un clavier Microsoft, déchiffrer les données et les envoyer au malandrin via GSM. Il peut même être programmé pour envoyer un SMS quand un mot particulier est tapé. Le débrancher ne suffit pas à l'arrêter, puisqu'il a une batterie — qui se recharge quand on le rebranche.
Le KeySweeper est une invention de Samy Kamkar. Ce bidouilleur de génie détaille sur son blog comment il a fabriqué ce chargeur malicieux avec un Arduino, une puce sans fil et un chargeur, donc. Un KeySweeper vaut quelques dizaines de dollars, tout au plus.
Dans un communiqué adressé à Ars Technica, Microsoft se défend que « les claviers de multiples fabricants sont vulnérables à cet appareil ».
À propos des claviers Microsoft concernés, les clients qui utilisent nos claviers avec le Bluetooth activé sont protégés par ce genre d'attaque. De plus, les utilisateurs de nos claviers 2,4 GHz sortis à partir de juillet 2011 sont protégés car ils exploitent la technologie AES.
Source :
