Cet été, les chercheurs en sécurité allemands Karsten Nohl et Jakob Lell de SR Labs ont fait souffler un vent de panique en présentant lors de la conférence Black Hat USA une vulnérabilité critique baptisée BadUSB.
Le souci est que les moyens de protection contre de telles attaques n'existent a priori pas, en raison de l'impossibilité pour des solutions de sécurité d'accéder au firmware exécuté sur le dispositif USB. La détection d'un comportement malveillant est en outre difficile dans la mesure où le périphérique compromis est en apparence un simple nouveau dispositif qui est branché.
Les chercheurs allemands n'avaient pas publié le code de firmwares de contrôleur USB modifiés mais une preuve de concept pour des appareils Android. Wired rapporte que les chercheurs Adam Caudill et Brandon Wilson ont publié un code d'attaque sur GitHub.
Selon Adam Caudill, il est probable qu'une telle vulnérabilité était déjà disponible pour des agences de renseignement comme la NSA et exploitée dans le plus grand secret. Avec la publication, il estime désormais que la pression est mise sur les fabricants afin qu'ils corrigent un problème devenu bien réel et plus seulement une preuve de concept.
Les deux chercheurs indépendants ont analysé par reverse-engineering les microcontrôleurs USB vendus par le groupe taïwanais Phison, puis ont reprogrammé ce firmware afin de pouvoir exécuter des attaques.
Karsten Nohl avait avancé que changer la manière dont le firmware d'une clé USB est écrit afin d'ajouter une couche de sécurité pourrait prendre jusqu'à plus de dix ans. Mieux vaut donc se méfier des clés USB qui traînent.
