Les clés USB ouvrent des failles...

Vous les aimez, ces petits sticks qui tiennent dans la poche, qui font accessoiremenent office de lecteur MP3, et qui se branchent le plus simplement du monde sur le port USB pour pouvoir y envoyer ses données, n'est-ce pas ?

Ces sticks, très rapidement baptisés clés USB (bien qu'elles n'ouvrent pas grand chose au final), vous rendent service au quotidien en vous permettant de transporter sans problème vos données importantes sur une longue distance, souvent sans vous soucier de la taille de celles-ci, repoussant ainsi les limites des obsolètes disquettes.

Cependant, nous étions tous loin de nous représenter le danger que celles-ci pouvaient faire encourir à un ordinateur, malheureusement, c'est bel et bien le cas.

Une société spécialisée en sécurité informatique a mis à l'évidence le fait qu'une clé USB connectée à un système pouvait permettre d'ouvrir une session sur une machine protégée par mot de passe. (On peut au moins ironiquement dire dans ce cas que l'appelation "clé" prend alors tout son sens)

Bien sûr, il faut que la clé ait été programmée à l'avance à cet effet.

La faille exploitée est de type "buffer overflow" et permet de donner les droits administrateurs à un utilisateur se servant de la clé USB.
La faille a été démontrée sous Windows 2000 et XP, mais compte tenu du fait qu'elle soit spécifique au protocole de gestion USB, et non propre au système, il n'est pas à exclure que tous les OS supportant la technologie USB soient vulnérable à ce type d'attaque.

Si les informations sur la faille n'ont pas été dévoilés en détail par l'entreprise pour des raisons de sécurité, il convient tout de même de rester vigilant, notamment en entreprise, où ce type de média est largement répandu et utilisé.

Microsoft n'a pas été alerté, il est donc peu probable de voir arriver un patch corrigeant cette erreur, cependant, Windows Vista, ex LongHorn, devrait intégrer un système permettant de bloquer les ports USB, ainsi qu'une amélioration de la gestion des utilisateurs.

Source : Vnunet
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
13 commentaires
    Votre commentaire
  • akemasiano
    En gros, on ne risque pas grand chose comparé aux entreprises.

    De plus, je vois mal qui pourrait me faire un coup pareil sachant que
    Citation:
    il faut que la clé ait été programmée à l'avance à cet effet.
    0
  • zimpf
    un peu périmé la news
    si vous vous associé avec clubic sa sré mieu vous auriez pas a allez dessus pour leur news
    0
  • M2k@idn
    Je crois qu'on peux installer un OS sur une clé, étant donné que les clé sont bootable maintenant alors je me demandais si on pouvait installer linux sur la clé, booter dessus et avoir accès aux données qui sont sur xp? :-?
    0