Faille de sécurité via des périphériques

C'est en tout cas ce que pensent les chercheurs de l'Université de Pennsylvanie, aux Etats-Unis. En ayant recours à un appareil appelé JitterBug, ils ont découvert qu'un pirate informatique avait la possibilité physique de s'emparer de périphériques et de les parasiter en créant un processus difficilement détectable dans le but de voler des données.


Démonstration
Pour les besoins de leur démonstration, les chercheurs ont bricolé un vrai JitterBug destiné à un périphérique du type clavier. Evidemment, un accès physique au périphérique est le minimum requis pour ce genre d'opération : ce qui équivaudrait à se replonger dans les James Bond du temps de la guerre froide, avec une taupe plaçant un appareil qui intercepterait les données qui transitent entre périphérique d'entrée et unité centrale. A la rigueur, les "espions" pourraient fabriquer une copie conforme de modèles de périphériques existants afin de les substituer aux vrais périphériques...

A la différence des appareils qui mémorisent toutes les touches tapées, il ne faut pas aller récupérer le JitterBug pour pouvoir lire les données. En effet, l'appareil peut utiliser n'importe quelle application réseau, tel que l'e-mail ou une messagerie instantanée pour transmettre les données. Plus petits, utilisant donc moins d'espace de stockage, mais plus "intelligents": ils peuvent être programmés pour n'enregistrer qu'une partie des événements, ou copier des données dans un laps de temps prédéfini. Par exemple, un JitterBug qui ne se déclencherait que lorsque l'utilisateur tape son identifiant : on peut supposer que la suite contiendra son mot de passe.

Et bien qu'il n'y ait pas de preuve que quelqu'un ait déjà utilisé ce type d'espion, la facilité avec laquelle ce genre de procédé peut être mis sur pied tend à confirmer la banalité de son usage. Certains logiciels et autres keyloggers permettent déjà, dans une certaine mesure, de surveiller les activités d'autres utilisateurs sur le PC. Le scénario catastrophe, c'est un fabricant de périphériques qui inonde le marché avec des appareils JitterBuggués.

D'après les chercheurs toujours, une solution existe : la cryptographie. Jusqu'à ce que les pirates trouvent une nouvelle parade... Et que pense Sam Fisher de tout ceci '