Les cles USB cryptees n'en valent pas la peine

Selon cet article de tweakers trouvé grâce à slashdot, les clés USB avec mot de passe vendues sous le nom Secustick ne seraient pas sécuritaires.

Le produit offre la possibilité d'inscrire un mot de passe lorsque la clé est insérée dans un système Windows pour la premìère fois. Ensuite, pour avoir accès à l'information contenue sur la clé, l'utilisateur doit saisir de nouveau le mot de passe. Après six mauvaise tentative de saisie de mot de passe, la clé devrait s'auto-détruire.

Vendue à fort prix, environ 130 euros pour 1G, la clé est utilisée par beaucoup d'organismes, notamment le gouvernement français et certaines institutions bancaires.

Selon l'article, un simple fil posé à la bonne place sur la clé permet de mettre la clé en lecture seule et donc que la clé ne peut pas compter le nombre de tentative d'essai de mot de passe rendant les essais illimité. Encore pire, il suffirait de mettre un 1 au lieu du 0 dans la routine VerifyPassWord() du fichier dll de la clé pour permettre d'accepter n'importe quel mot de passe.

Finalement, il apparait que la compagnie est au courant, qu'elle travaille sur une nouvelle clé mieux protégée et que le site web est temporairement hors ligne pour cette raison.