Clés USB mal sécurisées
Une nouvelle qui ne va par ravir tout ceux qui comme moi utilisent régulièrement ces outils nomades que sont les clés USB. Deux chercheurs en sécurité informatique allemands ont en effet découvert qu'elles présentaient une faille de sécurité très importante.
Pendant plusieurs mois, ils ont analysé les firmwares de plusieurs outils USB. Wikipedia nous explique que le firmware aussi appelé micrologiciel ou microcode est un ensemble d'instructions et de structures de données qui sont intégrées dans du matériel informatique pour qu'il puisse fonctionner.
Et les deux chercheurs allemands ont réussi à reprogrammer ces micrologiciel et à y charger leur propre code. Ils ont ainsi pu tromper le matériel sur lequel les clés USB reprogrammées étaient connectées en faisant par exemple croire à un PC sur lequel ils avaient branché une simple clé qu'il était en contact avec un clavier. Et plus fort, ils ont réussi à générer des frappes sur les touches de ce faux clavier.
Très concrètement, ceci veut dire qu'un pirate informatique disposant d'un outil de ce type pourrait donner des instructions à un ordinateur sans que le propriétaire de cette machine ne s'en rende compte. Et le pirate pourrait ainsi accéder à des fichiers mais aussi installer d'autres outils malveillants.Le gros problème de cette faille, c'est qu'elle n'est actuellement pas détectable par les antivirus qui équipent nos ordinateurs. Ils sont capables de scanner le contenu de la clé mais ici, nous sommes en amont du contenu. On sait que ces outils portables sont prisés des agences de renseignements ou des pirates pour tenter d'installer des logiciels malveillants.On se souvient de ce commentaire du Président du Conseil Européen, Herman Van Rompuy qui, au retour d'un sommet du G8, après avoir fait analyser une clé USB contenant des documents, avait été informé qu'elle pouvait installer un logiciel espion. Et donc, avant que l'industrie informatique ne trouve une parade, il est prudent de faire preuve d'une grande méfiance à l'égard de ces supports.
Seule la clé que vous connaissez ou dont vous connaissez le propriétaire pourra être connectée à votre machine et surtout à celle de votre employeur. Car c'est ici aussi la source de fragilité. Pour accéder à la structure informatique de votre entreprise ou de votre administration, quoi de plus simple que de vous faire un petit plaisir lors d'un salon ou d'une conférence.Comme le précisaient les deux chercheurs, il faut désormais considérer un élément USB comme une seringue qui ne s'échange pas entre utilisateurs…