Ce sont les chercheurs de SRLabs qui évoquent à nouveau la faille baptisée BadUSB, découverte en août dernier. Cet été, les chercheurs, dont Karsten Nohl, avaient mis en évidence la faille et présenté un scénario type permettant d'exploiter cette dernière avec une clé USB.

E Toshiba TransMemory Pro USB 3.0 n procédant à plusieurs tests au niveau de différents périphériques USB, des clés de stockage aux adaptateurs SATA, Webcams, claviers ou souris optiques, ils ont découvert que la faille était exploitable dans chaque type de périphérique, du moment qu'il dispose d'un microcontrôleur reprogrammable permettant de prendre le contrôle du système Hôte.

La faille parait ainsi plus béante qu'annoncée en aout, avec toutefois un bilan paradoxal : contrairement à ce qui avait été annoncé au départ, il n'y a pas que les clés USB qui sont sujettes à la faille, mais dans le même temps, certains périphériques USB en sont protégés.

La faille réside dans l'absence de sécurisation du firmware, qui permet de transformer une clé USB en dispositif reconnu comme un clavier par le PC sur lequel elle est branchée. À partir de là, un pirate peut s'introduire dans un système et récupérer des données sur l'ensemble des périphériques connectés. Pire encore, le programme peut se dupliquer pour favoriser son déploiement, et infecter d'autres périphériques amovibles dans l'espoir que l'utilisateur ira contaminer d'autres PC en les connectant à son tour.

Néanmoins, certains périphériques disposant de mémoire de type EPROM ne sont pas concernés par cette faille puisqu'elle ne peut pas être reprogrammée. C'est ainsi le cas de la souris d'Apple Mighty Mouse. Les experts ont passé au crible une foule de dispositifs afin de tenter d'alerter les utilisateurs sur les risques d'acquérir un périphérique présentant potentiellement la faille. Une liste est disponible ici.

La moitié des périphériques testés présenteraient des vulnérabilités. On peut aujourd'hui définir quel microcontrôleur est potentiellement à risques, mais aucun fabricant n'indique quelle puce est intégrée à ses périphériques de façon claire sur l'emballage.

Première mesure pour endiguer l'exploitation de la faille : Gdata a récemment publié un logiciel baptisé Keyboard Guard, qui bloque les connexions de claviers USB. Reste à savoir si la faille en question sera exploitée ou si elle l'a déjà été, et si les fabricants de périphériques feront le choix de sécuriser leurs prochains dispositifs en basculant vers des microcontrôleurs non reprogrammables.