Il y a quelques jours, les chercheurs en sécurité Adam Caudill et Brandon Wilson ont suscité un certain émoi dans l’univers de la sécurité, en publiant le code de programmes qui exploitent la faille BadUSB. Les deux experts ont expliqué n’avoir rien fait de mal, dans la mesure où il ne s’agit pas d’un code malveillant. Ils ont soutenu, par ailleurs, que le développement d’une attaque par BadUSB restait difficile. 01net a interrogé Karsten Nohl de Security Research Labs, l’un des deux chercheurs en sécurité qui étaient les premiers à révéler cette faille.
01net: La publication d’Adam Caudill et Brandon Wilson, était-elle nécessaire ?
Karsten Nohl: La stratégie du Full Disclosure – c’est-à-dire révéler des failles de sécurité dans tous leurs détails techniques – est utile pour augmenter la pression sur les fournisseurs. Les chercheurs en sécurité ont besoin de ce levier pour les inciter à résoudre leurs problèmes de sécurité. Mais dans le cas de la faille BadUSB, cela se discute, car la situation est plus complexe. Personne ne sait, à l’heure actuelle, qui doit résoudre le problème et donc sur qui il faut mettre la pression. C’est pourquoi nous avons préféré ne pas faire de Full Disclosure.
Le code mis en ligne est-il dangereux ?
K.N.: Les programmes publiés par ces deux chercheurs en sécurité ne sont pas dangereux en tant que tels, car ils ne constituent pas une attaque. Mais ils représentent une étape intermédiaire importante pour en réaliser une. Grâce à ce code, une grosse partie du travail a désormais été mâchée. Le développement qui reste à faire pour créer une attaque n’est pas si compliqué. Des millions d’informaticiens en seraient capables.
Faut-il craindre prochainement un vague de cyberattaques ?
K.N.: C’est difficile à dire. Pour les cybercriminels, la faille BadUSB n’est pas si intéressante que cela. Pour arriver à leurs fins, ils ont actuellement des moyens plus simples à leur disposition. En revanche, BadUSB pourrait se révéler particulièrement utile pour le cyberespionnage, car elle permet d’attaquer des systèmes même s’ils ne sont pas connectés sur Internet, comme cela peut être le cas par exemple dans le domaine militaire. C’est un scénario similaire à celui de Stuxnet.
Pourquoi Phison, le fournisseur taïwanais épinglé par Adam Caudill et Brandon Wilson, ne signe-t-il pas les firmwares de ses contrôleurs USB pour améliorer la sécurité ?
K.N.: Signer le firmware peut, en effet, être un premier pas pour résoudre la faille BadUSB. Et cela fait longtemps que Phison fournit des firmwares signés. Le problème, c’est qu’ils ne sont pas souvent sélectionnés par les constructeurs de produits USB, tels que Kingston ou SanDisk. Pourquoi ? Parce que cela double le coût du contrôleur, et augmente le prix final. Ces produits ne se vendraient donc pas très bien. D’ailleurs, je n’en vois que très rarement dans le commerce.
Lire aussi:
Black Hat: L’USB victime d’une faille de sécurité béante et impossible à corriger, le 01/08/2014
Les smartphones Android, armes ultimes pour exploiter la vulnérabilité de l’USB, le 08/08/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
