Le débat sur le moment où les chercheurs peuvent révéler les failles de sécurité qu'ils ont trouvées vient d'être relancé suite à la publication d'outils destinés à colmater une faille présente dans les lecteurs flash USB. La semaine dernière, deux chercheurs, Adam Caudill et Brandon Wilson, sont parvenus à retrouver plusieurs méthodes d'exploitation de la faille et en ont publié les résultats en accès libre sur le site Github. Ces travaux ont été effectués deux mois après la démonstration d'une attaque exploitant cette faille par le SR Labs de Berlin à l'occasion de la conférence Black Hat de Las Vegas.

SRLabs n'a pas souhaité s'exprimer sur les correctifs publiés ni sur les  détails de cette faille permettant de corrompre n'importe quel périphérique USB. La société de conseil et de recherche spécialisée en sécurité a juste fait savoir que ce type de malware ne pouvait pas être facilement corrigé. Cependant, Adam Caudill et Brandon Wilson ont conclu que la réplication de l'attaque et la publication de leur code, constitué des patchs corrigeant le firmware, des téléchargements et de la documentation, était nécessaire pour obliger les constructeurs de périphériques USB à réparer cette faille. L'utilisateur moyen ne sera jamais en mesure de pouvoir exploiter cette faille, a indiqué Adam Caudill, dans un billet de blog. Seul un petit nombre pourrait y parvenir, a-t-il ajouté. « Ces personnes ont déjà pu le faire avant que nous ayons publié ce que nous avons fait. Le risque que cela arrive est toujours le même ». 

Manque de réaction des fabricants

Cette faille USB est présente dans les contrôleurs conçus par Phison Electronics, une société taïwanaise qui vend ses appareils à un très grand nombre de fabricants de lecteurs USB. Cette attaque du SRLabs de type Proof-of-concept et surnommée BadUSB, oriente le profils du lecteur USB vers le clavier, de sorte qu'il puisse envoyer des séquences de touches à télécharger et installer des malwares. Le profil peut également être modifié pour émuler un contrôleur de réseau et détourner les paramètres DNS. La modification du firmware du contrôleur se fait à partir du système d'exploitation de l'ordinateur. Paul Henry, instructeur après du SANS Institute, a été gêné par la publication de ces correctifs, en dépit du manque de réaction des industriels. « Quelle que soit l'origine de la faute, c'est la communauté au sens large qui va devoir payer le prix ultime, lorsque cette faille sera exploitée », considère t-il. « Exercer des pressions sur les fournisseurs  en publiant un correctif  et en affichant  des détails sur une faille n'est pas quelque chose de bien nouveau. De nombreux chercheurs ont utilisé cette tactique contre Microsoft lorsque des vulnérabilités ont été détectées dans ses logiciels », a-t-il souligné. 

A. Caudill et B. Wilson, qui ont publié leurs correctifs lors de la conférence des hackers DerbyCon, espèrent contraindre les constructeurs à mettre à jour leurs firmwares pour contrôleurs USB afin d'éviter des modifications non autorisées. L'autre option est de désactiver la capacité de changer de firmware avant que la sortie d'usine des périphériques. Cependant, même si ces modifications sont mises en oeuvre, les lecteurs USB qui sont actuellement sur le marché sont susceptibles de rester vulnérables à cette faille pendant des années, selon les experts.