Karsten Nohl et Jakob Lell sont deux chercheurs allemands qui se sont penchés sur les faiblesses de la connectique USB en matière de sécurité. Au fil de leurs analyses de la technologie Universal Serial Bus, ils ont mis le doigt sur une importante faiblesse, qui permet d'infecter le code du firmware d'un port USB, qui contrôle ses fonctionnalités de base, comme sa reconnaissance automatique par la machine à laquelle il est connecté.
Si l'on a tendance à se méfier des périphériques de stockage USB lorsqu'ils sont reliés à un ordinateur, c'est parce que les fichiers stockés à l'intérieur sont susceptibles de contenir des logiciels malveillants capables d'infecter la machine. Les antivirus peuvent aider à se protéger de ce phénomène et, en cas de doute, il est toujours possible de formater le périphérique, qu'il s'agisse d'un disque dur externe, d'une clé USB ou même d'un smartphone. Mais la faille décelée par Karsten Nohl et Jakob Lell va bien plus loin et ne met pas l'utilisateur à l'abri d'un piratage, et ce même si le périphérique connecté est vide. Il n'a même pas besoin de disposer d'un espace de stockage pour être malveillant : un clavier ou une souris USB peuvent être touchés.
Les deux chercheurs ont mis au point une solution de piratage d'un dispositif USB, qu'ils ont nommé BadUSB. Cette dernière infecte le firmware, c'est-à-dire le logiciel interne propre à tout périphérique USB et pilotant les fonctions de base ce dernier. Il s'agit d'une composante essentielle à son bon fonctionnement, sans quoi le périphérique connecté n'est pas reconnu par la machine d'accueil. C'est également un point sur lequel l'utilisateur n'a aucun contrôle : il ne peut pas l'effacer ou détecter en son sein un éventuel malware. Selon Karsten Nohl et Jakob Lell, une telle menace s'avère quasiment impossible à enrayer et à détecter, l'une des seules manières viables pour l'éviter étant d'interdire l'usage de périphériques USB dans les lieux à risque. « Ces problèmes ne peuvent pas être corrigés. Nous exploitons la façon-même dont l'USB est conçu » explique Karsten Nohl.
Les deux chercheurs détailleront leur découverte à l'occasion du cycle de conférence Black Hat, qui débutera le 2 août à Las Vegas. Le site Wired, qui a eu la primeur de l'information, s'interroge sur l'éventuel utilisation de cette faille. Matt Blaze, un professeur d'informatique de l'université de Pennsylvanie, n'hésite pas à évoquer la possibilité que la faille soit déjà exploitée par la NSA : il rappelle l'existence de Cottonmouth, un programme de piratage de l'agence, dévoilé par Edward Snowden fin 2013. L'une des caractéristiques de ce dernier est d'utiliser un câble USB dont la connectique est modifiée par la NSA, mais le fonctionnement précis du système n'est pas détaillé. « Je ne serais pas surpris si certaines des découvertes de Nohl et Lell se trouvaient déjà dans le catalogue de la NSA » conclut Matt Blaze.
Alerté par les deux chercheurs, l'USB Implementers Forum, le consortium qui gère le développement l'USB, a tiré une conclusion assez évidente de cette situation : il faut se méfier, en premier lieu, de la machine à laquelle on connecte un périphérique externe pour éviter toute infection. Un constat valable en théorie, mais en pratique, la faille relevée ici sème le doute auprès de l'utilisateur, qui ne peut jamais vraiment savoir si son appareil a été infecté, et cela demande une réflexion différente.« Dans cette nouvelle façon de penser, vous ne pouvez plus faire confiance à un appareil USB , même s'il ne contient pas de virus. La confiance doit venir du fait qu'il n'a jamais été en contact avec quoi que ce soit de malveillant » explique Karsten Nohl. « Vous devez donc considérer qu'un périphérique USB est infecté dès qu'il entre en contact avec un ordinateur potentiellement dangereux, et le jeter. C'est une démarche incompatible avec la façon dont nous utilisons les périphériques USB aujourd'hui. »
Karsten Nohl et Jakob Lell s'inquiètent des répercutions qu'auront les révélations autour de cette faille, mais ils estiment que les utilisateurs ont le droit d'être informés de cette menace. Ils espèrent également que les constructeurs de dispositifs USB chercheront des méthodes pour renforcer la sécurité de leurs appareils embarquant cette technologie.