Tous les articles
Pentest 2 min min de lecture

Mes impressions sur le Bash Bunny

Tristan Blond ·
Mes impressions sur le Bash Bunny

L’autre jour, j’ai ouvert un vieux tiroir et je suis tombe sur mon Bash Bunny — celui que j’avais achete quand j’etais un jeune passionnee essayant d’etre aussi cool que NetworkChuck. Je me souviens avoir ete fascine par ses fonctionnalites d’injection de payloads et je m’etais eclate a l’utiliser pour Rickroller mes amis.

Maintenant, avec plus d’experience en tant que developpeur en cybersecurite, je me suis demande : est-ce que ca vaut vraiment les 145 $ ? Et qu’est-ce qu’on peut reellement en faire ?

Alors, pour vous, j’ai depoussiere le vieux costume de Mr. Robot et j’ai passe la journee entiere a jouer avec. Premierement — j’avais completement oublie comment ca marchait. Mais honnetement, c’est assez intuitif. Il y a trois positions de switch : une pour la configuration, et deux pour executer differents payloads. (J’ai fini par me Rickroller moi-meme, ce qui m’a bien fait rire.)

Apres un peu de lecture, je me suis rappele que Hak5 avait concu son propre langage de script, qui permet d’interagir directement avec le materiel. On a des commandes comme LED, SLEEP et QUACK (qui simule des frappes au clavier) — toutes etonnamment utiles. Le mot-cle ATTACKMODE est particulierement puissant : il dit au Bash Bunny quel type de peripherique USB emuler — que ce soit un clavier, un adaptateur reseau ou un stockage de masse.

Parce que oui, le Bash Bunny est essentiellement une machine Linux deguisee en cle USB. Et le meilleur ? Vous pouvez tout configurer de maniere programmatique.

Cela dit, j’ai rencontre pas mal de problemes avec la securite Windows. Beaucoup des vieux trucs sont maintenant corriges dans les systemes d’exploitation modernes, donc on ne peut plus compter dessus pour des tests d’intrusion fiables. Neanmoins, dans un environnement non securise ou plus detendu, il peut absolument faire le travail.

Ce que j’apprecie vraiment, c’est a quel point c’est organise et facile a utiliser. Il y a une communaute solide autour, et de nos jours, avec ChatGPT, le depannage et l’ecriture de payloads sont plus faciles que jamais.

Si vous cherchez juste a vous amuser, c’est probablement un peu cher. Vous pourriez obtenir des resultats similaires avec un Arduino ou une alternative moins couteuse. Mais si vous planifiez des attaques physiques plus complexes necessitant une distro Linux complete en deplacement — cet outil brille.

Cela dit, si vous possedez deja quelque chose comme un Flipper Zero, vous trouverez peut-etre le Bunny un peu… limite.