Un récent « hack » impliquant une souris Razer montre ce qui peut arriver si un nouveau matériel télécharge automatiquement le logiciel utilitaire requis : il peut permettre à un attaquant de s’emparer d’un PC.
À la fin de la semaine dernière, le chercheur en sécurité « j0nh4t » a montré que l’utilitaire RazerInstaller pouvait être utilisé pour élever les privilèges sur un PC, donnant à un attaquant un contrôle total. Essentiellement, tout ce qu’un utilisateur aurait à faire est de connecter une souris Razer, d’attendre le téléchargement du logiciel utilitaire de Razer, puis d’exécuter PowerShell. En utilisant la technique que jonh4t décrit dans son tweet, un compte invité sur un PC peut obtenir le statut d’administrateur et contrôler le PC.
Pour être juste, chaque fois qu’un attaquant a le contrôle physique d’un PC, vous courez un risque, cela signifie que le pirate est soit assis à votre bureau, soit a volé votre ordinateur portable. Le chercheur a également signalé que Razer est occupé à travailler sur un patch.
Cependant, il n’est pas clair si Razer résoudra le problème fondamental : Oui, il est pratique pour Razer de pousser automatiquement son utilitaire sur votre PC. D’un autre côté, lorsque cela se produit, vous ne savez jamais vraiment ce que votre PC recevra. (Protégez-vous en utilisant les programmes antivirus recommandés par PCWorld.) Demander à l’utilisateur de télécharger l’utilitaire de Razer, plutôt que de le faire pour lui, pourrait être une étape vers la résolution de ce problème.