L’USB est une prise « dangereuse », pour tous les systèmes d’exploitation. C’est ce qu’ont mis au jour deux chercheurs en sécurité avec leur outil, USBFuzz.
Une application qui tient son nom de son mode opératoire de fuzzer, qui désigne un outil utilisé par les experts en sécurité qui génère un grand nombre de données aléatoires, erronées, etc. afin de submerger un programme.
Dépassés par le flots d’informations, les programmes et autres drivers qui gèrent l’USB boivent la tasse. C’est grâce à ce procédé que les chercheurs, Hui Peng, de l’université de Purdue (USA), et Mathias Payer, de l’EPFL (Suisse), ont mis au jour 26 failles de sécurité tournant autour de l’USB dont 11 majeures.
Aucun OS majeur épargné
Avec USBFuzz, tout le monde en prend pour son grade, de macOS à Windows en passant par FreeBSD et GNU/Linux. Ce dernier est la vraie passoire de la compétition puisque sur les 26 failles, 18 concernent le système d’exploitation libre, sans doute en partie du fait de son développement moins centralisé.
Cette faiblesse est cependant contrebalancée par la réactivité de sa communauté. Ainsi, sur les 18 failles de Linux (dont 16 concernent la gestion de la mémoire), 11 ont déjà été patchées et les sept autres devraient l’être « dans un futur proche ».
Loin de vouloir en faire une arme atomique, les chercheurs ont déclaré vouloir publier leur outil USBFuzzer en open source. Ce qui pourrait être une avancée majeure pour la communauté de la sécurité informatique, USBFuzzer est le premier outil logiciel multiplateforme de ce genre.