Les clés USB, ces espionnes en porte-clé

L'actualité numérique Mardi 05 août 2014

Réécoute
Les clés USB, ces espionnes en porte-clé
Elles sont partout. Dans votre salon. Dans vos tiroirs. Au fond de vos sacs. Et parfois même sur votre porte-clés. Mais les clés USB posent de vrais problèmes en matière de sécurité informatique...

 

C'est un nouveau fléau pour l'humanité. D’autant plus terrible qu’il est partout… Dans votre salon. Dans vos tiroirs. Au fond de vos sacs. Et parfois même sur votre porte-clés. J’ai nommé… les clés USB!

Pas si inoffensive...

Ce n'est pas parce qu'il en existe sous forme de sushis, de petits dragons, ou d'à peu près n'importe quelle forme et couleur que ces petits appareils de stockage certes fort pratiques sont inoffensifs. Bien au contraire même: Wired révèle que deux chercheurs, Karsten Nohl and Jakob Lell, viennent apporter la preuve que les clés USB sont en fait intrinsèquement MAUVAISES.

Terrible vérité: nos deux chercheurs ont découvert qu’il était possible d’installer sur ces clés USB des logiciels malveillants, ou “malwares” qui s’exécutent à notre insu pour faire tout un tas de choses pas hyper sympa, comme espionner nos communications, modifier nos fichiers, et pour aller vite, prendre le contrôle de notre ordinateur.

Pour le découvrir, ce duo d'expert a tout simplement disséqué le mode de fonctionnement de clés USB, pour finalement réussir à créer un programme malveillant, baptisé... “BAD USB” ("vilaine USB").

Vilaine, vilaine USB

On imagine à peine le potentiel d’une telle faille, dans la mesure où tout le monde distribue aujourd’hui, en guise de goodies, des petites clés USB. A l'occasion de conférences, d'évenements en tout genre ou en cadeau avec un abonnement -et j’en passe. Du coup, rétrospectivement, je me dis que j’aurais peut-être pas dû accepter cette clé USB fournie par l’Hadopi il y a quelques années...

Et il y a pire dans cette histoire, poursuit Wired, c'est notre impuissance à contrecarrer ces logiciels. Sur ce point, les chercheurs sont formels, vous pouvez supprimer le contenu de votre clé, la formater, faire tourner vos antivirus: vous ne trouverez rien!

Tout simplement parce que les logiciels malveillants en question s’enracinent dans le code de fonctionnement même de la clé USB. Celui là même qui permet à une clé USB d’être une clé USB, à savoir d’échanger avec un ordinateur des fichiers.

Du coup pour éviter ça, il n’y a rien d’autres que des solutions radicales. Comme par exemple mettre de la superglu dans les emplacements, vous savez les petits trous, qu’il y a sur tout ordinateur.

Vilaine clé USB

Boucher les ports USB avec de la glu

Et si cette solution paraît un peu extrême, sachez qu’elle n’est pas du tout loufoque. Et est même carrément préconisée dans certaines boîtes sensibles, où les informations sont susceptibles d’être considérées comme des secrets industriels juteux.

Si les deux chercheurs dont je vous parle ont effectivement trouvé une nouvelle vulnérabilité dans les clés USB, et tentent de sensibiliser aujourd’hui les fabricants sur le sujet, ça fait en réalité un bail que l’on se méfie de ces petites choses. Et qu’on se méfie de façon générale de tout appareil de stockage portatif. Même des disquettes, c’est dire!

Parce que qui dit portatif, dit intrusion potentielle. Quelqu’un peu très bien voler vos données, l’air de rien, en plaçant une clé USB, un lecteur MP3 ou un appareil photo, dans votre ordinateur.

C’est pas des blagues, il existe même une recommandation de l’instance en charge de la sécurité informatique en France qui remonte à 2006, et qui préconise de se méfier de “ce dialogue possible”:

Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB ?... Les batteries sont déchargées, et je ne rentre que demain chez moi. Merci beaucoup !.


 

"Il y a toujours un idiot qui ne fait pas gaffe à la clé USB..."

Rappelons par ailleurs que l’un des virus les plus connus, Stuxnet, s'est aussi appuyé sur une clé USB pour parvenir à ses fins, à savoir pénétrer l’enceinte ultra-sécurisée d’une usine nucléaire iranienne. Une réussite qui doit beaucoup, à en croire instigateur du programme cité dans le New York Times, au fait qu'il y a “toujours un idiot qui ne fait pas gaffe à l’USB qu’il tient au creux de la main”...

Andréa Fradin


 

Illustration CC FlickR :

PaternitéPas de modification Certains droits réservés par P E U F

> Retrouvez toutes les chroniques "L'actualité numérique"

> Abonnez-vous aux podcasts : RSS et iTunes

Commentaires