0 2 minutes 10 ans

cle-usbL’existence d’une faille informatique majeure touchant l’ensemble des clés USB n’est pas nouvelle : elle avait été révélée fin juillet. Mais jusqu’à présent son découvreur avait gardé en grande partie secrète la manière dont fonctionne cette faille, baptisée « BadUSB ». La faille est majeure : en l’utilisant il est possible de prendre le contrôle total d’un ordinateur dans lequel elle est insérée, d’y installer des programmes espions ou de surveiller son trafic Internet à l’insu du propriétaire.

Plus problématique encore, la faille n’est, selon son découvreur, pas corrigeable – et en tout cas pas par l’utilisation d’un simple correctif. Elle se niche à un niveau fondamental dans le logiciel faisant fonctionner la totalité des clés USB sur le marché. C’est pourquoi il avait choisi de ne pas rendre publique la méthodologie de fonctionnement de la faille, expliquait-il cet été.

Mais la semaine dernière, deux autres chercheurs en sécurité informatique qui sont parvenus à reproduire en grande partie le problème ont choisi de publier leurs travaux, arguant qu’il s’agit de la seule manière de contraindre les constructeurs de clés USB à repenser le foncitonnement des logiciels qu’ils utilisent. « Si les seules personnes capables d’utiliser cette faille sont les entités disposant de budgets importants [comme la NSA, NDLR] le problème ne sera jamais corrigé », ont-ils affirmé auprès du magazine américain Wired.

Pour l’instant, cette faille tout nouvellement dévoilée est peu susceptible de concerner le grand public, mais il est cependant recommandé d’appliquer les règles de précaution classiques concernant les clefs USB : ne pas utiliser une clef dont on ignore la provenance, et appliquer les mises à jour de sécurité sur son ordinateur.