Dans un monde où les entreprises investissent des millions dans des systèmes de cybersécurité, un étudiant a créé un dispositif redoutable pour extraire des mots de passe WiFi, le tout pour un coût dérisoire de seulement 4 euros. À l’aide d’un Raspberry Pi Pico, ce projet démontre que même les vulnérabilités qui semblent les plus anodines peuvent poser des menaces majeures pour la sécurité des données.
Le projet en question, dénommé “WiFi-password-stealer”, se base sur une technique d’injection de touches qui atteint un impressionnant taux de réussite de 94,28%, comme l’indique une étude récente sur ResearchGate. En branchant cet appareil, semblable à une clé USB ordinaire, en quelques secondes, il peut simuler un clavier qui tape à une vitesse fulgurante, sans alerte ni avertissement, laissant le système dans l’ignorance de l’attaque en cours.
Cette situation souligne la nécessité d’une vigilance accrue face aux menaces qui se cachent derrière des dispositifs apparemment inoffensifs.
Développé par AleksaMCode, ce système est conçu pour exploiter la confiance aveugle que les systèmes d’exploitation accordent aux périphériques USB. Sous Windows, il utilise PowerShell pour récupérer les identifiants WiFi stockés et les transmet par e-mail, tandis que sous Linux, la récupération des mots de passe est encore plus directe grâce à l’accès à des fichiers stockés en clair. Ces méthodes d’extraction sont facilitées par un coding astucieux utilisant des scripts simples, rendant ce piratage à la fois efficace et alarmant.
Un autre aspect préoccupant est que 80% des utilisateurs ont tendance à réutiliser le même mot de passe pour plusieurs comptes. Ainsi, un simple piratage d’un ordinateur peut compromettre des dizaines de comptes différents. De plus, les pratiques courantes des gestionnaires de réseaux, qui stockent des mots de passe en clair, extravagant cette vulnérabilité pour ceux qui disposent d’un accès non autorisé.
Face à de telles menaces, bien que des défenses existent, leur utilisation est souvent inadéquate. Désactiver les ports USB sur des machines sensibles pourrait se révéler être une protection essentielle, et les solutions EDR (Endpoint Detection and Response) devraient être mises en œuvre de manière efficace. Il est devenu vital de prendre conscience de la sécurité informatique, notamment en étant prudent lorsqu’on manipule des périphériques USB, qu’ils soient trouvés par terre ou pressés de les brancher par un collègue.
