Les clés USB, un vecteur d’attaque toujours d’actualité


Deuxième du classement* des cybermenaces les plus dangereuses, les clés USB sont devenues en quelques années un vecteur d’attaque par excellence. Piqûre de rappel.

Partager l’article :

En 2016, un chercheur en sécurité de Google a tenté une expérimentation en disposant à l’abandon 297 clés USB sur un campus américain. Les résultats de cette étude ont montré que 98%** avaient été ramassées par des étudiants et que 45%** d’entre elles avaient été branchées dans un ordinateur.

Cette étude nous rappelle que les périphériques USB sont encore trop peu perçues comme des menaces potentielles et toujours d’actualité.

Pourtant, les exemples d’attaques informatiques ayant comme vecteur d’origine un périphérique USB sont nombreuses.

Chronologie des attaques par vecteur USB

Comment la clé USB est-elle devenue un objet potentiellement dangereux ?

Dès la popularisation des périphériques de stockage USB, des malwares ont su utiliser cette technologie afin de se propager. Le premier exemple à grande échelle de cette utilisation voit le jour en 2008 avec le ver Conficker. Dans sa version B, Conficker déposait une DLL infectée sur le périphérique amovible, programmée pour se lancer automatiquement dès l’insertion du périphérique.

Ce type d’attaque exploitait principalement le mécanisme de confiance des clés USB, de la même façon que les CD-ROM qui permettait de lancer automatiquement un programme dès lors que le périphérique était branché. 

En 2014, un nouveau type d’attaque est apparu, exploitant un mécanisme différent : des chercheurs allemands ont ainsi réussi à modifier le firmware d’une clé USB afin de la faire passer pour un clavier. Il était alors possible de taper automatiquement des commandes sur l’ordinateur cible lors de l’insertion de ce périphérique. Mais également  de simuler des clics de souris. L’attaque gagne le nom de BadUSB, et est quasiment indétectable.

Depuis, des sociétés ont professionnalisé ce type d’attaques en commercialisant des périphériques prêts à l’emploi, telles que la clé RubberDucky, permettant d’automatiser et d’améliorer le processus.

les clés USB, vecteurs de malwares importants

Plus récemment, en 2017, une nouvelle génération d’attaque par USB a fait son apparition : un chercheur en sécurité a publié un logiciel dénommé P4wnP1, installable sur un Raspberry Pi, basé sur l’attaque BadUSB et qui en améliore le fonctionnement. Ce kit, très versatile et riche en fonctionnalités, profite notamment des capacités WiFi du Raspberry Pi, permettant par exemple de taper des commandes à distance ou bien encore d’exfiltrer des données.

Cet ensemble permet, pour un coût très faible, de profiter d’un kit d’attaque USB prêt à l’emploi et quasiment indétectable.

Les recommandations de protection

En dépit du développement de ces attaques, de leur professionnalisation et de leur technicité de plus en plus poussée, les collaborateurs en entreprise n’adoptent pas de contre-mesures adaptées. En effet, selon une étude de l’institut Ponemon, 70% des salariés utilisent des clés USB provenant de l’extérieur et la connectent sur le réseau de l’entreprise. Par ailleurs, 68% ne prennent aucune protection avant d’ insérer une clé USB sur leur PC professionnel.

Au vu des menaces potentielles et de leurs évolutions, il est important de mettre en place un ensemble de mesures visant à réduire le risque de ces attaques :

5 bonnes pratiques d'utilisation des clés USB en entreprise

  1. Fournir des clés USB aux collaborateurs pour éviter qu’ils utilisent des clés USB de l’extérieur
  2. Renouveler les clés USB des collaborateurs afin d’éviter la propagation de malwares
  3. Ne pas brancher une clé USB dont on ne connait pas la provenance à un poste de travail
  4. Contrôler systématiquement les clés USB dès lors qu’elles ont été branchées dans un environnement non sécurisé
  5. Brancher uniquement des clés préalablement décontaminées dans les PC industriels

 

Plus que jamais, la sensibilisation des collaborateurs aux questions de sécurité informatique est vitale afin que les procédures mises en place soient appliquées.

 

Sources :

* : Classement BSI-CS _ 2016

**  Source : The Danger of USB Drives, Tischer et al, IEEE Security and Privacy Magazine 15(2):62-69 · March 2017
Benoit Ferault, Chef de produit Marketing chez Orange Cyberdefense

A propos du blogueur

Benoît Ferault est diplômé de NEOMA Business School, où il a obtenu un master en marketing. Il a rejoint les équipes marketing produit d’Orange Cyberdefense en tant que chef de produit, et gère notamment l’offre de borne de décontamination de clés USB, Malware Cleaner .