BadUSB : publication de codes pour exploiter la méga-faille de l’USB

Si Karsten Nohl et Jakob Lell, les découvreurs de la mégafaille BadUSB ont eu la délicatesse de ne dévoiler aucun détail sur cette vulnérabilité, ce n’est pas le cas d’Adam Caudill et Brandon Wilson qui publient des codes pour l’exploiter.

C’est au mois d’aout que Karsten Nohl et Jakob Lell, deux chercheurs en sécurité de Security Research Labs, ont présenté BadUSB, une mégafaille de sécurité qui permet de reprogrammer la plupart des firmwares des accessoires USB pour y insérer un autre code. Face à la difficulté pour corriger cette faille, les deux experts avaient choisi de ne pas publier les détails techniques de leur découverte.

L’appréciation d’Adam Caudill et Brandon Wilson n’a pas été la même. Estimant que les constructeurs manquent de volonté pour prendre le problème à bras le corps, ils ont décidé de publier leurs codes pour les exploiter.

C’est à l’occasion d’une conférence qu’ils ont fait trois démonstrations : la reprogrammation complète du firmware de Phison, la création d’une partition cachée sur le contrôleur et le contournement du mot de passe d’une clé USB, avant de publier le code de leurs démonstrations sur le site Github.

Selon eux, « cette publication permettra aux utilisateurs de prendre conscience des risques potentiels, d’aider les experts en sécurité de trouver des parades et d’obliger les fabricants à se pencher enfin sur la question ».

Cette publication a bien évidemment provoqué un certain émoi dans la communauté. Il est tout de même important de relativiser la situation, car les codes publiés sont réservés à une très petite élite d’experts vu qu’il est nécessaire d’avoir des compétences très spécifiques. Par ailleurs, depuis l’annonce initiale de cette mégafaille BadUSB, il y a fort à parier que les personnes qui possèdent les compétences de s’attaquer à cette faille n’ont pas attendu sa publication.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentiOS 8 peine à séduire
Article suivantGeForce 980M et 970M : Nvidia lance du Maxwell pour ordinateurs portables

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here