Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

PodSlurping (Pod Slurping)

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

PodSlurping (Pod Slurping) - Vol de données d'un ordinateur vers un périphérique portable.

PodSlurping (Pod Slurping)PodSlurping (Pod Slurping)PodSlurping (Pod Slurping)

PodSlurping (Pod Slurping) = Vol de données d'un ordinateur vers un périphérique portable.

PodSlurping (Pod Slurping) est un néologisme formé de :

  • Pod (pour iPod, le lecteur portatif de musique numérique de la société Apple (aussi appelé "baladeur numérique" ou, d'une manière réductrice, "baladeur mp3") le plus vendu au monde)
  • Slurp pour l'onomatopée évoquant la succion, l'aspiration.
L'usage de dispositifs portables est grandement favorisé par l'omniprésence de connecteurs USB normalisés et la prolifération de périphériques miniatures USB aux capacités de stockage de plus en plus énormes et rapides (l'iPod "Classic" de sixième génération, sorti le 5 septembre 2007 a une capacité allant jusqu'à 160 GigaBytes de stockage !).

Les dispositifs au standard U3 (abandonné en 2009, l'exécution automatique (autorun sous Windows) poursuivant le cauchemar des périphériques USB) se reconnaissent à ce logo et sont "actifs" :

U3 (Norme U3 - Plate-forme U3 - Smart Drive) et PodSlurping (Pod Slurping)
U3 (Norme U3 - Plate-forme U3 - Smart Drive)

Vol de données de l'ordinateur hôte vers le dispositif mobile :
Un dispositif portable (anciennement U3 ou, actuellement, avec "autorun") peut contenir un amorçage automatique ("autorun" sous Windows). La clé USB en est l'archétype. Lorsqu'elle est branchée sur une machine, une malveillance quelconque peut être lancée automatiquement et silencieusement sur la machine et exécuter les fonctions pour lesquelles il a été programmé (vol des mots de passe, du carnet d'adresse, de documents spécifiques... mais aussi (c'est une autre histoire mais la présence d'un port USB est une faille de sécurité) accès au serveur d'un réseau d'entreprise pour y implanter une porte dérobée qui sera utilisée plus tard (backdoor) ou effectuer d'autres attaques etc. ...).

Un exemple spectaculaire et très médiatisé d'attaque par clé USB est le virus StuxNet qui a ciblé très précisément des ordinateurs non connectés à l'Internet pour détruire des machines du processus nucléaire iranien. Voir l'article StuxNet.

Ce type d'attaque, le PodSlurping, n'est pas forcément "automatique" avec le standard U3. Il peut s'effectuer avec tout dispositif portable à mémoire (pas uniquement les clés USB et pas uniquement au standard U3). L'attaque PodSlurping consiste à brancher, sur un système, un support de stockage quelconque (un baladeur numérique peut faire l'affaire) afin de dérober furtivement l'information contenue sur le système. Par exemple, il suffit de prétendre que les batteries de son lecteur MP3 ou de son appareil photo-numérique sont déchargées et demander l'autorisation de se brancher quelques minutes sur un port USB (qui véhicule également des courants d'alimentation en plus des données) pour lancer discrètement et silencieusement une copie d'une partie d'un disque dur vers ce périphérique amovible dont les capacités de stockage peuvent être très importante (jusqu'à 160 gigaoctets en septembre 2007 avec l'iPod de sixième génération).

Vol de données du dispositif mobile vers l'ordinateur hôte :
L'attaque peut se conduire en sens inverse également : de la clé vers l'ordinateur.
Un processus tournant en arrière plan, dissimulé par un crochetage (hook) afin de ne pas apparaître dans la liste des processus, comme la plupart des codes malveillants actuels, peut très bien attendre qu'une clé soit branchée pour lancer la copie de son contenu. Un tel processus ne sera pas facilement détectable sur le poste hôte d'autant que, le plus souvent, le possesseur de la clé n'est généralement pas le possesseur de la machine hôte (machine chez un fournisseur, un client, un cybercafé, un "ami" etc. ...).

Certains outils voleurs permettent même de faire une image complète de la clé (toute la mémoire y compris celle sensée ne pas/plus contenir de données). Le vol s'étend alors non seulement aux documents présents mais aussi aux documents que vous croyez avoir effacés (sous Windows, l'effacement normal d'un document ne fait qu'altérer le premier caractère du nom de ce document dans la table des matières du volume - le contenu du document reste intact tant que la mémoire n'est pas ré-utilisée pour d'autres données). Ces outils permettent donc à l'attaquant de "récupérer" des documents que vous croyez effacés sur la clé USB parce que leurs noms ne s'affichent pas lors de l'exploration ordinaire de la clé avec l'explorateur de Windows.

Depuis quand le PodSlurping ?
Si le mot de "podslurping" est né vers les années 2005, l'idée et la pratique sont aussi vieilles que les disquettes, seules la capacité et la vitesse des supports ayant changé et rendant l'opération de plus en plus simple, rapide et portant sur des quantités de données de plus en plus grandes.

Que faire ?
Veuillez installer un bon antivirus (sous Windows), antivirus (sous Android), tel Kaspersky KAV, et un bon anti-spywares tel AVG Anti-spywares.
Veuillez désactiver l'autorun.

Ne pas oublier qu'un port USB est une faille de sécurité !