L’existence d’une faille informatique majeure touchant l’ensemble des clés USB n’est pas nouvelle, il s’agit bien de la faille de sécurité qui affecte toutes les clés USB du monde (BadUSB) . Révélée fin juillet par Karsten Nohl La faille est majeure : en l’utilisant il est possible de prendre le contrôle total d’un ordinateur dans lequel elle est insérée, d’y installer des programmes espions ou de surveiller son trafic Internet à l’insu du propriétaire. Des hackers pourraient ainsi se servir de cette faille pour placer un programme qui copie toutes les touches saisies sur un clavier (afin de récupérer mot de passe et numéros de cartes bancaires), dérober des fichiers, ou encore se servir de l’ordinateur pour pirater d’autres machines. Les chercheurs affirment qu’il est possible d’infecter l’ordinateur même s’il est éteint, il suffit que le périphérique USB soit branché.
Celui qui a révélé le problème s’est bien gardé de proposer une solution, au contraire il était resté flou sur le fonctionnement exact du phénomène, notamment pour empêcher son utilisation. Deux chercheurs en informatique se sont penchés sur la question afin de tenter d’y comprendre quelque chose.
Plus problématique encore, la faille n’est, selon son découvreur, pas corrigeable et en tout cas pas par l’utilisation d’un simple correctif. Elle se niche à un niveau fondamental dans le logiciel faisant fonctionner la totalité des clés USB sur le marché. C’est pourquoi il avait choisi de ne pas rendre publique la méthodologie de fonctionnement de la faille, expliquait-il cet été. Mais la semaine dernière, deux autres chercheurs Adam Caudill et Brandon Wilson en sécurité informatique qui sont parvenus à reproduire en grande partie le problème ont choisi de publier leurs travaux dans tous leurs détails techniques, arguant qu’il s’agit de la seule manière de contraindre les constructeurs de clés USB à repenser le fonctionnement des logiciels qu’ils utilisent. « Si les seules personnes capables d’utiliser cette faille sont les entités disposant de budgets importants le problème ne sera jamais corrigé », ont-ils affirmé auprès du magazine américain Wired. Pour l’instant, cette faille tout nouvellement dévoilée est peu susceptible de concerner le grand public, mais il est cependant recommandé d’appliquer les règles de précaution classiques concernant les clefs USB : ne pas utiliser une clef dont on ignore la provenance, et appliquer les mises à jour de sécurité sur son ordinateur.