La nouvelle version de Rubber Ducky, inaugurée lors du récent Def Con, « est plus dangereuse que jamais », explique The Verge.
Sortie il y a plus de 10 ans, popularisée dans une scène de Mr Robot, cette clef USB d’apparence anodine se fait passer pour un clavier USB, et permet d’injecter n’importe quel type de commandes, comme le résume son site web :
« Les ordinateurs font confiance aux humains. Les humains utilisent des claviers. L’USB Rubber Ducky – qui ressemble à une clé USB innocente pour les humains – abuse de cette confiance pour fournir des charges utiles puissantes, en injectant des frappes à des vitesses surhumaines. »
Les précédentes versions permettaient déjà de lancer une fausse fenêtre contextuelle Windows afin de récolter les identifiants de connexion d’un utilisateur, ou encore d’envoyer tous les mots de passe enregistrés dans le navigateur Chrome au serveur de l’attaquant.
Mais ces fonctionnalités n’étaient pas supportées par toutes les plateformes, contrairement à la nouvelle version, explique son créateur, Darren Kitchen, à The Verge :
« Cela signifie, par exemple, que le nouveau Ducky peut exécuter un test pour voir s’il est branché sur une machine Windows ou Mac et exécuter conditionnellement le code approprié à chacun ou se désactiver s’il a été connecté à la mauvaise cible. Il peut également générer des nombres pseudo-aléatoires et les utiliser pour ajouter un délai variable entre les frappes pour un effet plus humain. »