Attaque BadUSB : Comment un câble USB se transforme en clavier
L'objet le plus dangereux dans votre sac est peut-être le câble auquel vous faites le moins attention. Un câble USB, une clé USB de rechange, le chargeur « gratuit » laissé en salle de réunion… Ils ont tous l'air inoffensifs. Mais branchez-en un, et s'il a été transformé en périphérique BadUSB, votre ordinateur réagit étrangement en une fraction de seconde : il reconnaît le câble comme un clavier et vous laisse commencer à taper.
C'est là tout le piège. BadUSB n'est pas un virus que l'on peut détecter par analyse antivirus. Il s'agit d'une cyberattaque qui exploite une fonctionnalité par défaut de l'USB, l'un des vecteurs d'attaque les plus sournois de la cybersécurité. Et pour les détenteurs de cryptomonnaies, cette saisie silencieuse peut discrètement leur coûter leur portefeuille. Voici comment cela fonctionne, pourquoi c'est si difficile à stopper et pourquoi les utilisateurs de cryptomonnaies sont particulièrement vulnérables.
Qu’est-ce qu’une attaque BadUSB et pourquoi est-elle dangereuse ?
Chaque périphérique USB, de la clé USB à 3 € à la webcam, fonctionne grâce à un minuscule microcontrôleur doté de son propre firmware. C'est ce firmware qui indique à votre ordinateur « Je suis un clavier » ou « Je suis un périphérique de stockage ». Une attaque BadUSB le réécrit, de sorte que le périphérique mente. La clé USB que vous considérez comme un simple périphérique de stockage se présente alors discrètement comme un clavier ou une carte réseau, et le système d'exploitation l'accepte sans broncher. Sans aucune notification. Sans aucun avertissement.
Pourquoi est-ce si important ? Parce que les ordinateurs traitent les claviers. Un clavier est un périphérique d'interface utilisateur (HID), et tous les systèmes d'exploitation font entièrement confiance aux entrées HID. Ils supposent qu'une personne réelle est assise derrière le clavier et appuie sur de vraies touches. Ainsi, un périphérique USB malveillant qui se fait passer pour un clavier hérite de cette confiance et commence à exécuter des commandes à la vitesse de la machine.
L'appel à la prise de conscience de 2014
L'idée a été révélée au grand public lors de la Black Hat USA 2014, lorsque deux chercheurs de SR Labs, Karsten Nohl et Jakob Lell, l'ont présentée sur scène. Leur exposé, intitulé « BadUSB — Accessoires maléfiques », expliquait comment un disque dur d'apparence normale, reprogrammé pour servir de clavier, pouvait prendre le contrôle d'un ordinateur à l'insu de l'utilisateur. Quelques semaines plus tard, Adam Caudill et Brandon Wilson ont dévoilé un code d'exploitation fonctionnel à la DerbyCon. Ce fut un tournant décisif. BadUSB, autrefois réservé aux laboratoires, est devenu accessible à tous ceux qui disposaient d'un week-end.
Pourquoi ne pas simplement le corriger ?
Voici ce qui continue de préoccuper les experts en sécurité : la plupart des contrôleurs USB acceptent les nouveaux firmwares sans signature de code ni authentification. Rien ne vérifie que la mise à jour provient d'une source fiable. La faille ne réside donc pas dans un programme défectueux que l'on peut corriger, mais bien dans le modèle de confiance USB lui-même.
Votre antivirus analyse les fichiers. BadUSB, lui, n'a pas besoin de fichier. Son comportement malveillant est intégré au firmware, et l'attaque se résume à quelques frappes au clavier. Rien n'est enregistré sur le disque dur. C'est ainsi qu'un ordinateur portable entièrement à jour et protégé peut être vulnérable à un simple câble USB à 200 dollars.
Comment se déroule une attaque BadUSB en quelques secondes
Imaginez la scène. Vous branchez le câble. Il s'identifie comme un clavier auprès de l'ordinateur, et en une ou deux secondes, il commence à exécuter des frappes grâce à une mémoire préchargée par l'utilisateur. Aucun humain ne tape aussi vite. Personne n'arrive à sa cheville.
Un logiciel malveillant classique ouvre une fenêtre de commande cachée ou une invite PowerShell, généralement dans un endroit invisible pour vous, télécharge un script sur Internet et l'exécute. Le câble effectue la saisie, tandis qu'Internet fournit le logiciel malveillant. Avant même que vous ne jetiez un coup d'œil à l'écran, l'opération est déjà terminée.
Deux secondes de frappe suffisent. Ouvrez un terminal. Fermez l'invite de sécurité. Téléchargez un outil d'accès à distance et installez-le au démarrage pour qu'il reste actif même après un redémarrage. Sous Windows, une simple ligne de PowerShell suffit à récupérer du code depuis un serveur appartenant à l'attaquant et à l'exécuter. Le script peut patienter. Il peut attendre une certaine heure ou ne s'exécuter que lorsque l'écran est déverrouillé, de sorte que la rafale de frappes se fonde dans vos activités. Votre antivirus ne bronche pas, car il ne s'agit pas d'un fichier, mais d'une entrée.
Pourquoi cela fonctionne-t-il toujours ? C’est simple. On peut verrouiller les logiciels, restreindre les installations, exécuter tous les scanners du marché. Mais un clavier est considéré comme une représentation de soi. Cette simple supposition est la clé du problème, et BadUSB la contourne par définition.
Outils BadUSB disponibles à l'achat : du canard en caoutchouc au flipper
Pendant des années, on aurait dit un film d'espionnage. Ce n'est plus le cas. Le matériel standard prend en charge l'injection de frappe dès sa sortie de l'emballage, et les prix sont d'une banalité affligeante.
La clé USB Rubber Ducky de Hak5 est un classique : une clé USB qui ressemble à une clé USB, programmée dans un langage simple appelé DuckyScript, conçue précisément à cet effet. Le Flipper Zero, un outil multifonction de poche devenu viral, intègre la fonction BadUSB et coûte environ 169 $. Et puis il y a le câble O.MG, celui qui devrait le plus vous inquiéter, car ce n'est pas une clé USB, mais un câble.
Le câble O.MG ressemble trait pour trait à un câble Apple ou USB-C classique. À l'intérieur se cache une puce sans fil et une petite interface web accessible par Wi-Fi. La version Elite peut enregistrer jusqu'à 890 frappes par seconde et intègre un enregistreur de frappes pouvant en stocker jusqu'à 650 000. En veille, il recharge votre téléphone et transfère des données comme n'importe quel autre câble. Impossible de s'en apercevoir. C'est bien là tout l'intérêt.
| Outil | facteur de forme | vitesse d'injection | commande sans fil | Prix approximatif |
|---|---|---|---|---|
| Canard en caoutchouc USB | clé USB | Rapide (scripté) | Non | ~60 $ |
| Flipper Zero | outil multifonction de poche | Rapide (scripté) | Limité | ~169 $ |
| Câble O.MG (Élite) | Câble d'apparence normale | Jusqu'à 890 touches/seconde | Oui (Wi-Fi) | ~200 $ |
Pour mettre les choses en perspective, un implant comparable par le passé, du genre de ceux que les services de renseignement auraient conçus, coûtait plusieurs dizaines de milliers de dollars. Le câble O.MG offre la plupart de ces capacités pour le prix d'un bon dîner. La barrière à l'entrée a quasiment disparu.
Pourquoi les détenteurs de cryptomonnaies sont une cible privilégiée pour BadUSB
La plupart des articles s'arrêtent à l'aspect informatique des entreprises. Je veux aborder des sujets moins sensibles, car si vous détenez des cryptomonnaies, votre situation face aux menaces est différente, et honnêtement, un peu plus grave.
L'échange de presse-papiers
Une attaque BadUSB ne nécessite pas de pirater votre portefeuille. Il lui suffit de modifier une seule chose : votre presse-papiers. Le code malveillant injecté installe un pirate de presse-papiers en quelques secondes. Ensuite, chaque fois que vous copiez une adresse crypto pour envoyer des fonds, le logiciel malveillant la remplace discrètement par celle de l'attaquant. Vous collez ce qui semble correct. Vous confirmez. L'argent atterrit dans le portefeuille d'un inconnu.
Ce n'est pas de la théorie. Un pirate informatique a été surpris en train de surveiller plus de deux millions d'adresses Bitcoin, y remplaçant à la volée les adresses de ses attaquants. Lors d'une campagne menée en 2024 et baptisée GitVenom, de faux dépôts de code ont diffusé un logiciel malveillant de substitution d'adresses et ont dérobé environ 485 000 $ en Bitcoin. La technique est particulièrement sournoise car les adresses cryptographiques sont de longues chaînes de caractères aléatoires que personne ne lit individuellement. On vérifie les quatre premiers caractères, puis les quatre derniers, ils correspondent, et on clique sur « Envoyer ». La substitution se cache au milieu, là où l'attention ne se porte jamais. Et les enjeux sont considérables : selon Chainalysis , environ 2,2 milliards de dollars en cryptomonnaies ont été volés en 2024, dont 43,8 % étaient dus à des compromissions de clés privées.
Un portefeuille matériel peut-il vous sauver la mise ?
Généralement, oui, et il est important de comprendre pourquoi. Un Ledger ou un Trezor stocke votre phrase de récupération dans un élément sécurisé. Les clés privées y sont créées et n'en sortent jamais. Seule une transaction signée transite par le câble USB. Ainsi, un dispositif BadUSB générant des frappes au clavier ne peut pas simplement exécuter une commande permettant de récupérer votre phrase de récupération depuis un portefeuille matériel fonctionnel. L'architecture entière est conçue pour empêcher précisément cela.
Mais il existe deux failles majeures. La première concerne l'ingénierie sociale. En 2021, des escrocs ont envoyé par courrier de faux appareils Ledger à des personnes dont l'adresse avait été divulguée lors du piratage de données de Ledger en 2020. Le matériel contrefait était accompagné d'une note invitant les victimes à saisir leur phrase de récupération de 24 mots dans une application préinstallée, comme l'a rapporté CoinDesk . Aucune faille de sécurité n'était requise. Un emballage convaincant et un peu de peur suffisaient. La seconde faille réside dans la chaîne d'approvisionnement. Des chercheurs de Kraken ont démontré que la puce gérant l'USB sur un portefeuille matériel, distincte de l'élément sécurisé, pouvait être trafiquée avant même que l'appareil ne parvienne à l'acheteur.
La leçon à retenir n'est pas que les portefeuilles matériels sont inutiles. Bien au contraire, ce sont des outils performants. La leçon à retenir, c'est que le point faible réside en vous : ce que vous copiez, ce que vous saisissez et même la provenance de votre appareil.
La menace USB est-elle réellement si répandue ?
Il serait tentant de classer BadUSB dans la catégorie « intéressant, mais rare ». Les données disent le contraire, du moins en ce qui concerne la menace USB en général.
La société de sécurité Honeywell surveille les logiciels malveillants détectés sur les sites industriels. Dans son rapport de 2024, Honeywell a constaté que 51 % des logiciels malveillants interceptés étaient conçus pour se propager via USB, contre seulement 9 % en 2019. Parmi ces logiciels malveillants USB, 82 % sont susceptibles de perturber les opérations industrielles. L'USB n'est pas une surface d'attaque obsolète ; au contraire, elle est en pleine expansion.
Et le facteur humain est le plus facile à exploiter. Dans une étude bien connue, des chercheurs de l' Université de l'Illinois ont disséminé 297 clés USB sur un campus. Les gens les ont ramassées et branchées, la première en quelques minutes seulement. La curiosité facilite grandement le travail des pirates.
| Trouver | Chiffre | Source | Année |
|---|---|---|---|
| Logiciel malveillant de site OT se propageant via USB | 51 % (contre 9 % en 2019) | Honeywell | 2024 |
| Ce logiciel malveillant USB est capable de perturber les opérations. | 82% | Honeywell | 2024 |
| Cryptomonnaie volée, partage suite à une compromission de la clé privée | 2,2 milliards de dollars / 43,8 % | Analyse de la chaîne | 2024 |
| Clés USB tombées et branchées | Environ la moitié, en quelques minutes | Université de l'Illinois | 2016 |
Un petit bémol toutefois. Le FBI et la FCC ont tous deux publié des avertissements en 2023 concernant le « juice jacking » (piratage de la batterie) sur les bornes de recharge des aéroports et des centres commerciaux. Ces avertissements étaient préventifs, et aucun cas avéré n'a été rendu public. Néanmoins, la faille qu'ils pointent du doigt, un port de charge pouvant également transmettre des données, est précisément ce qu'exploite BadUSB. Le problème n'est pas qu'un câble piégé attende dans chaque aéroport. Il est plutôt que le même port USB transporte à la fois l'alimentation et les données sur les mêmes broches ; par conséquent, un port que l'on ne peut pas inspecter est un port auquel on ne peut pas faire entièrement confiance.
Comment prévenir les attaques BadUSB et protéger les cryptomonnaies
La bonne nouvelle ? Se protéger contre les attaques BadUSB est surtout peu coûteux et repose sur de bonnes habitudes. Inutile de recourir à un logiciel sophistiqué : une nouvelle habitude suffit.
- Ne branchez aucun périphérique USB ni câble que vous n'avez pas acheté vous-même ou en lequel vous n'avez pas une confiance absolue. Les cadeaux de la conférence, les clés USB trouvées sur le parking, les câbles empruntés : voilà ce qui représente une menace. Traitez-les comme vous traiteriez une seringue appartenant à un inconnu.
- Emportez un bloqueur de données USB, parfois appelé « préservatif USB », pour recharger vos appareils en public. Il coupe physiquement les broches de données et ne laisse passer que l'alimentation, empêchant ainsi le vol de données et l'injection de frappes au clavier via ce port USB.
- Concernant les cryptomonnaies, vérifiez toujours l'adresse de réception complète sur l'écran de votre portefeuille matériel avant d'approuver une transaction. Cette simple précaution permet de contrer l'échange d'adresses via le presse-papiers, car l'adresse sur l'appareil de confiance ne correspondra pas à celle insérée par le logiciel malveillant.
- Achetez vos portefeuilles matériels directement auprès du fabricant, jamais auprès d'un revendeur tiers ou d'un inconnu, et ne faites jamais confiance à un appareil qui apparaît sans prévenir.
- Côté terminaux, le contrôle des périphériques USB, la liste blanche des périphériques d'interface humaine (HID) et les outils de gestion des terminaux empêchent toute connexion des claviers non reconnus. Sur les appareils personnels, des fonctionnalités telles que l'invite « Autoriser la connexion d'accessoires » d'Apple ou le paramètre de désactivation des ports USB lorsque l'appareil est verrouillé sous Android offrent la même protection.
Rien de tout cela n'est exotique. C'est l'équivalent numérique du refus de manger ce qu'un inconnu vous tend dans la rue.
Points clés concernant BadUSB et la sécurité des clés USB
BadUSB est déconcertant précisément parce qu'il est si banal. Pas de faille zero-day, pas besoin d'être un génie, juste une supposition à 5 dollars : un câble n'est qu'un câble et un clavier, c'est vous. Cette supposition est fausse, et le matériel permettant de le prouver coûte désormais à peu près le même prix que le téléphone que vous êtes en train de recharger.
Pour les détenteurs de cryptomonnaies, la solution ne requiert pas de paranoïa, mais simplement de la discipline. Vérifiez les adresses sur l'écran de votre appareil, et non sur votre ordinateur. Achetez votre matériel directement auprès du fabricant. Et la prochaine fois que quelqu'un vous propose un câble que vous n'avez pas apporté, demandez-vous ce qu'il est en train de taper. Qu'auriez-vous branché aujourd'hui sans hésiter ?
