Si Karsten Nohl et Jakob Lell, les découvreurs de la mégafaille BadUSB ont eu la délicatesse de ne dévoiler aucun détail sur cette vulnérabilité, ce n’est pas le cas d’Adam Caudill et Brandon Wilson qui publient des codes pour l’exploiter.
C’est au mois d’aout que Karsten Nohl et Jakob Lell, deux chercheurs en sécurité de Security Research Labs, ont présenté BadUSB, une mégafaille de sécurité qui permet de reprogrammer la plupart des firmwares des accessoires USB pour y insérer un autre code. Face à la difficulté pour corriger cette faille, les deux experts avaient choisi de ne pas publier les détails techniques de leur découverte.
L’appréciation d’Adam Caudill et Brandon Wilson n’a pas été la même. Estimant que les constructeurs manquent de volonté pour prendre le problème à bras le corps, ils ont décidé de publier leurs codes pour les exploiter.
C’est à l’occasion d’une conférence qu’ils ont fait trois démonstrations : la reprogrammation complète du firmware de Phison, la création d’une partition cachée sur le contrôleur et le contournement du mot de passe d’une clé USB, avant de publier le code de leurs démonstrations sur le site Github.
Selon eux, « cette publication permettra aux utilisateurs de prendre conscience des risques potentiels, d’aider les experts en sécurité de trouver des parades et d’obliger les fabricants à se pencher enfin sur la question ».
Cette publication a bien évidemment provoqué un certain émoi dans la communauté. Il est tout de même important de relativiser la situation, car les codes publiés sont réservés à une très petite élite d’experts vu qu’il est nécessaire d’avoir des compétences très spécifiques. Par ailleurs, depuis l’annonce initiale de cette mégafaille BadUSB, il y a fort à parier que les personnes qui possèdent les compétences de s’attaquer à cette faille n’ont pas attendu sa publication.