C’est un outil d’attaque à la mode : les USB Killer sont des clés USB destinées à détruire les ordinateurs et périphériques sur lesquelles vous les branchez. Un étudiant américain va être jugé pour un carnage dans le matériel informatique de son ancienne école (58 000 $ de dégâts). Il risque jusqu’à 10 ans de prison. Plus inquiétant : ce genre de clé sont en vente libre, et des tutoriels sont disponibles un peu partout pour en construire « faites maison ».
L’affaire a fait grand bruit des deux côtés de l’Atlantique. Vishwanath Akuthota a 27 ans. En 2017, il a été diplômé d’un MBA à l’Université de Saint Rose, à Albany, dans l’État de New York. Mais l’ancien étudiant, pour des raisons qui lui appartiennent, avait gardé une certaine rancœur contre son ancienne école.
USB Killer, la clé qui grille les circuits des ordinateurs
Le 14 février, il se rend dans les locaux de l’Université de Saint Rose. Armé d’un téléphone portable et d’une clé USB. Le premier pour se filmer. La seconde pour détruire le matériel informatique local.
Il s’agissait en effet d’une USB Killer, un outil qui gagne en popularité. Le principe : la clé USB, en apparence classique, intègre des condensateurs électriques. Si vous la branchez sur un appareil sous tension disposant d’un port USB, ces condensateurs vont se charger, très rapidement. La USB Killer libère ensuite toute cette énergie électrique, d’une puissante décharge, d’un seul coup.
Dans l’immense majorité des cas, cette décharge suffit à faire griller, dans la seconde, les circuits de l’appareil – ordinateur, smartphone, tablette, caméra, etc. Si l’appareil survit, la clé va recharger les condensateurs, et recommencer. La technologie se perfectionnant sans cesse, les dernières générations d’USB Killer haut de gamme peuvent générer entre 8 et 12 décharges par seconde. Rare sont les appareils électroniques à survivre à pareille surtension.
« Je vais le tuer ! »
L’arme du crime est donc identifiée. Vishwanath Akuthota a ainsi visité le parc informatique de son ancienne école. Il a introduit sa clé USB maligne dans des ports ouverts d’ordinateurs, d’écrans et d’autres périphériques. Il s’est filmé pendant l’opération, ponctuant ses forfaits de remarques évocatrices : « Je vais le tuer ! », « Il est mort ! », ou, plus simplement, « Boom ! ». Au terme de cette sympathique visite, le champ d’honneur comptait les cadavres de 59 ordinateurs et de 7 écrans.
Une fois son forfait accompli, il est reparti. Mais, dès le 22 février, il a pioché la carte « Allez en prison ». Appréhendé par la police de l’Etat de New-York, il reconnait les faits, et décide de plaider coupable.
Plus de 58 000 $ de dégâts
Les dommages matériels se chiffrent à 51 109 $, auxquels il faut ajouter 7 362 $ en temps de travail des employés pour l’enquête et le remplacement du matériel détruit. La facture totale dépasse ainsi les 58 000 $. Mais Vishwanath Akuthota a accepté, pour tenter de minimiser sa condamnation, de payer cette somme, dans le cadre d’une négociation de plaidoyer. Une pratique courante aux Etats-Unis.
L’ancien étudiant sera jugé le 12 août. Il espère que son chèque lui attirera la mansuétude des juges, car il risque jusqu’à dix ans de prison et 250 000 $ d’amende. Il a refusé, à la demande des forces de l’ordre, de répondre aux journalistes.
Mauvaise nouvelle : ces clé USB tueuses sont en vente libre
Mais le plus inquiétant, dans cette affaire, est qu’elle pourrait se dupliquer à l’infini. En effet, une USB Killer « standard » se trouve facilement dans le commerce, pour une cinquantaine d’euros – les modèles plus perfectionnés se monnaient plus chers, mais Akuthota a utilisé un modèle « de base ». Il s’agit donc d’un outil faisant des ravages dans les appareils électroniques, et qui est en vente libre.
On pourrait rétorquer qu’une grande quantité de liquide peut produire à peu près le même effet, et que l’eau est également en vente libre. Un fer à souder, bien utilisé, peut aussi « tuer » en quelques secondes un appareil électronique. Ou même, plus basique encore, une bonne vieille hache !
Mais ce qui rend ces clés pernicieuses, c’est qu’elles ne sont pas identifiables comme dangereuses. Une vidéosurveillance montrant un individu branchant une clé USB sur un ordinateur ne déclenchera pas une intervention immédiate de la sécurité. Et pourtant… De quoi donner envie, ce qui semblerait assez logique, de faire interdire la vente des USB Killer. Et la publication de vidéo pour les fabriquer « maison », car YouTube en regorge actuellement !