Assiste.com
Clé USB - Risques et menaces liés aux clés USB
Les clés USB (Universal Serial Bus) représentent un support privilégié de transport de données et codes exécutables donc de vol de données et d'inoculation de virus, surtout depuis le standard U3. Le virus StuxNet est l'œuvre d'une clé USB.
cr 01.01.2012 r+ 21.08.2020 r- 16.02.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
| Sommaire (montrer / masquer) |
|---|
Les clés USB (Universal Serial Bus) représentent aujourd'hui un support privilégié pour le stockage et le transport de données et donc le vol de données et l'inoculation de parasites, surtout depuis le standard U3. Les risques n'ont pas diminué depuis l'abandon du standard U3 en 2009.
Le virus StuxNet fut découvert le 17 juin 2010 par la société VirusBlokAda (l'antivirus VBA32) et a permi la destruction de 1000 centrifugeuses du programme nucléaire iranien.
Toutes les formes de parasites peuvent contaminer un ordinateur auquel quelqu'un a accès physiquement.
Les clés USB sont un cauchemar sécuritaire (comme le furent les disquettes en leur temps).
Les keyloggers, les backdoors, les RATs, les ransomwares et cryptowares, etc. (toutes les formes de malveillances) peuvent vous infecter par l'usage de clés USB par quelqu'un qui a accès physiquement à votre appareil.
La personne qui accède à l'ordinateur peut être son propriétaire et utilisateur légitime. Cette personne a introduit sa clé USB sur une autre machine, contaminée, a transporté le virus, et l'installe maintenant, sur sa machine. Ce même propriétaire peut, inconsciemment, installer un parasite après avoir été convaincu (ingénierie sociale) qu'il faisait tout à fait autre chose.
La personne qui accède à l'ordinateur peut être une personne malveillante ou une personne pilotée par un cybercriminel (un employé, un technicien de surface, un détective privé, un consultant externe, le service de gardiennage, la maintenance technique, etc.). Toute personne qui touche à un ordinateur dont les connections internet, les ports USB, SATA, etc., les lecteurs, etc. ne sont pas désactivés / déconnectés, est susceptible de contaminer l'ordinateur.
La personne qui accède à l'ordinateur peut être, sans doute dans le pire des cas, l'ami plein d'enthousiasme (copain, copine, parent, enfant...) qui, plein d'assurance, vient faire une « manip » !
C'est là que se révèle et se dévoile l'une des plus utilisées des failles de sécurité : le virus PEBCAK.
Les clés USB permettent une utilisation beaucoup plus souple et un espace disponible beaucoup plus important (il existe des clés USB de 256 GO à 40€, garanties 5 ans, en fin 2021) que les autres supports amovibles utilisés aussi bien dans le cadre professionnel que personnel.
Risques et menaces relatifs à l'utilisation de clés USB :
Vols d'informations - PodSlurping
Le contenu d'une clé USB peut être intégralement et silencieusement copié sur la machine hôte, à l'insu de son propriétaire, au moment où elle est branchée sur un poste qui s'avère hostile ou avec un utilisateur qui s'avère hostile. Le risque est donc que n'importe qui peut dérober avec une simplicité enfantine et en un instant le contenu de n'importe quelle clé sur n'importe quelle machine où elle est branchée. L'inverse est également vrai et le propriétaire d'une clé USB peut dans les mêmes conditions voler des données se trouvant sur une machine avec une désarmante facilité et en très peu de temps et très peu de manipulation, voir en automatisant totalement l'attaque.
Vols de données de la clé vers l'ordinateur :
Un processus tournant en arrière-plan, dissimulé par un crochetage (hook) afin de ne pas apparaître dans la liste des processus, comme la plupart des codes malveillants actuels, peut très bien attendre qu'une clé soit branchée pour lancer la copie de son contenu. Un tel processus ne sera pas facilement détectable sur le poste hôte d'autant que, le plus souvent, le possesseur de la clé n'est généralement pas le possesseur de la machine hôte (machine chez un fournisseur, un client, un cybercafé, un « ami », etc. ...).
Certains outils voleurs permettent même de faire une image complète de la clé (toute la mémoire y compris celle censée ne pas/plus contenir de données). Le vol s'étend alors non seulement aux documents présents, mais aussi aux documents que vous croyez avoir effacés (sous Windows, l'effacement normal d'un document ne fait qu'altérer le premier caractère du nom de ce document dans la table des matières du volume - le contenu du document reste intact tant que la mémoire n'est pas réutilisée pour d'autres données). Ces outils permettent donc à l'attaquant de « récupérer » des documents que vous croyez effacés sur la clé USB parce que leurs noms ne s'affichent pas lors de l'exploration ordinaire de la clé avec l'explorateur de Windows.Vol de données de l'ordinateur vers la clé :
Mettons de côté le cas de figure où le propriétaire de la clé peut s'asseoir devant l'ordinateur et y faire les manipulations qu'il souhaite (explorer les volumes de la machine et copier des fichiers vers sa clé). La clé peut contenir un amorçage automatique (« Autorun » sous Windows) et lorsqu'elle est branchée sur une machine, un spyware peut être implanté silencieusement sur la machine et exécuter les fonctions pour lesquelles il a été programmé (vol des mots de passe, du carnet d'adresses, de documents spécifiques... mais aussi, c'est une autre histoire dans les failles de sécurité - et un port USB est une faille de sécurité sur certaines machines - accès au serveur d'un réseau d'entreprise pour y implanter une porte dérobée qui sera utilisée plus tard (backdoor) et autres attaques, etc.). Ce type d'attaques est connu sous le nom de « podslurping » (en référence au produit iPod d'Apple). Elle s'effectue depuis le périphérique (pas uniquement les clés USB). Elle consiste à brancher, sur un système, un support de stockage quelconque (un lecteur MP3 peut faire l'affaire) afin de dérober furtivement l'information contenue sur le système. Par exemple, il suffit de prétendre que les batteries de son lecteur MP3 ou de son appareil photo numérique sont déchargées et demander l'autorisation de se brancher quelques minutes sur un port USB (qui véhicule également des courants d'alimentation en plus des données) pour lancer silencieusement une copie d'une partie d'un disque dur vers ce périphérique amovible dont les capacités de stockage peuvent être très importante (256 GO à 40€, garanties 5 ans, en fin 2021). Si le mot de « podslurping » est né vers les années 2005, l'idée et la pratique sont aussi vieilles que les disquettes, seules la capacité et la vitesse des supports ayant changé et rendant l'opération de plus en plus simple, rapide et portant sur des quantités de données de plus en plus grandes.
Exécutions automatiques d'applications
Lancement automatique d'applications ou de codes malicieux contenus dans la clé USB, dès son insertion dans un appareil, à cause de la fonction Autorun (qui devrait toujours être désactivée).
Si la clé USB est baladée par son propriétaire de machine en machine, il y a de fortes chances qu'elle soit contaminée, même en présence de pare-feu et d'antivirus.
Si la clé USB est celle d'un cybercriminel, elle est volontairement contaminée pour cibler des machines particulières ou des services particuliers (les cybercriminels sont d'excellents informaticiens découvrant et exploitant des failles de sécurités bien avant qu'elles ne soient révélées et corrigées). Un employé d'une société dont on souhaite pénétrer le système peut voir sa clé USB contaminée avec du code malicieux en y installant un fichier infecté, que l'attaquant ait un accès physique à la clé USB ou que l'on utilise une compromission automatique afin de polluer cette clé USB puis d'attendre que la clé soit branchée sur un nouveau poste pour que la charge utile (payload) du code malicieux soit déclenchée.
La fonction « Autorun » ne fonctionne pas normalement pour une clé USB puisqu' elle est reconnue par Windows comme un disque amovible, et donc jugée comme source non sûre. Cependant, il est possible de faire passer certaines clés USB pour un CD-ROM : lorsque la clé est insérée, Windows voit alors cette clé comme étant un CD-ROM (au lieu d'un disque amovible) et exécute automatiquement le fichier « autorun.inf » présent sur la clé.
Ceci peut être réalisé très facilement avec les clés USB de type U3 (et peut toujours l'être depuis l'abandon d'U3 en 2009). Le standard « U3 » permet d'embarquer sur des clés USB des applications autonomes qui s'exécutent à partir de la clé. Les clés conformes « U3 » sont disponibles couramment depuis l'automne 2005, et depuis l'été 2006 la méthode pour configurer une clé « U3 » en clé d'attaque a été largement diffusée sur le Web.
Les clés « U3 » sont susceptibles de contenir plusieurs informations personnelles ou confidentielles. Le vol de celles-ci peut avoir des conséquences importantes:
La configuration du client de messagerie.
Les contacts stockés par le client de messagerie.
Les pages en cache du navigateur Internet.
Les sites favoris installés sur le navigateur.
Des mots de passe gérés par une application dédiée (application fréquemment offerte par défaut avec la clé).
Les clés « U3 » sont généralement fournies avec un lanceur (Launchpad). Une fois la clé insérée ce lanceur donne accès aux applications. Certains lanceurs malveillants permettent d'exécuter directement des actions à l'insertion de la clé, et sont fournis avec des outils permettant de récupérer des bases de données de mots de passe, d'installer une capture de clavier ou un rootkit.
Le lanceur légitime des dispositifs conformes au standard « U3 » :
Bloquer la clé en écriture
Certains dispositifs USB présentent un interrupteur physique (par exemple à l'extérieur d'une clé USB), qui permet de bloquer l'accès en écriture au dispositif. Si cela ne protège pas du vol d'informations et donc des différentes problématiques de confidentialité, cela empêche des éléments extérieurs, sur le système hôte, de modifier le contenu du dispositif (implanter un Launchpad malveillant permettant de propager un parasite en le faisant sauter d'une machine à une autre...), ou d'effacer le contenu du dispositif USB par une fausse manipulation ou par malveillance à l'insu de son utilisateur.
Nettoyer proprement le contenu de la clé
Les dispositifs USB peuvent contenir des données sensibles. Avant de les prêter ou de les abandonner, il est important de bien nettoyer leur espace de stockage, ou d'assurer la confidentialité de leur contenu. En fonction des impératifs et des réglementations (matériel militaire...), certaines opérations doivent être conduites. La suppression n'est souvent pas suffisante pour détruire complètement toute trace d'un document. La suppression d'un document sous Windows consiste, pour Windows, à remplacer le premier caractère du nom du document, dans la table des documents (la table des matières d'un répertoire), par un caractère "réservé" (spécial). Les données du document en lui-même restent intactes tant que l'espace libéré n'est pas réutilisé pour un autre document. Dans un dispositif à mémoire de type clé USB ou baladeur numérique, l'effacement définitif sans possibilité de retour consiste simplement en l'écriture de zéros binaires ou uns binaires (mettre tous les bits à zéro ou à un). Il existe des outils logiciels gratuits pour faire cela dit "effaceurs de sécurité simple" ou "shredders à 1 passe" qui sont suffisants - voir ci-dessous.
Rappelons que pour effacer un document sans passer par la case "poubelle de Windows" (sans possibilité de le récupérer dans la poubelle) il faut maintenir la touche "majuscule" enfoncée et appuyer sur la touche suppression ("suppr").
Nettoyer proprement un dispositif magnétique
Sur un dispositif magnétique (baladeur numérique à disque dur pouvant atteindre 160 gigaoctets de stockage comme l'iPod de sixième génération de septembre 2007), l'effacement sans possibilité de révélation des anciens contenus ne peut être atteint qu'avec un effacement de sécurité à plusieurs "passes" qui a été décrit dans de nombreux documents (généralement militaires, déclassifiés, ce qui a propulsé leur popularité) :
Documents sur l'effacement de sécurité :
États-Unis - National Industrial Security Program Operating Manual (NISPOM - NISP Operating Manual - DoD 5220.22-M).
États-Unis - NIST - Guidelines for Media Sanitization.
États-Unis - Le Centre de gestion des Systèmes d'Information Navale : NAVSO P-5239-26 (RLL).
États-Unis - Le Centre de gestion des Systèmes d'Information Navale : NAVSO P-5239-26 (MFM).
États-Unis - NSA 130-2.
États-Unis - Air Force AFSSI 5020.
États-Unis - Navy NAVSO P-5239-26.
États-Unis - Army 380-19.
États-Unis - IREC (IRIG - Inter-Range Instrumentation Group) 106 - Chapter 10 : NTISSP-9 (National Telecommunications and Information Systems Security Policy) section 10.8.
Fédération Russe - Agence fédérale de la régulation technique et la métrologie : GOST P50739-95.
Allemagne - Ministère fédéral de l'Intérieur : VSITR.
Algorithmes :
Entendons-nous sur cette notion de révélation : il est possible de révéler un ancien contenu d'un disque dur (ou de toute surface magnétique) en utilisant un matériel permettant de révéler les anciennes positions Nord/Sud Sud/Nord des unités magnétiques d'une surface même si celles-ci ont été ré-écrites. Ce genre de précaution est à prendre uniquement lorsqu'il s'agit d'abandonner un matériel ayant contenu des données sensibles (vente, rebut...) ou de permettre à un technicien de la chose d'intervenir dessus (service de maintenance...). Ceci ne concerne absolument pas le risque de lecture du contenu de votre dispositif USB, lorsque vous le branchez sur une machine hôte, même en image ISO intégrale, avec un logiciel d'espionnage (de capture). L'usage d'un effaceur de sécurité simple à une passe suffit.
L'usage d'un effaceur de sécurité à plusieurs "passes" ne concerne que des cas très particuliers dans lesquels la rémanence magnétique peut être révélée, en laboratoire, après démontage des plateaux du disque dur entraînant la destruction physique définitive du disque. On l'utilisera donc avant d'abandonner un dispositif à mémoire magnétique ayant contenu des données sensibles. Il s'agit d'espionnage de très haute volée, coûtant extrêmement chers, permettant de récupérer des milliards de 0 et de 1 qu'il reste ensuite à tenter de rendre cohérents en devinant quels étaient la structure initiale et le type initial des données (était-ce des mots de 7 bits ? De 8 bits ? De 16 bits ? De 32 bits ? Un document Word ? Une feuille Excel ? En clair ou crypté ? Crypté avec quoi ?...
Certains outils, appelés « Shredders » ou « Effaceurs de sécurité » permettent de faire un nettoyage de type DOD 5220.22-M en écrivant plusieurs fois de suite (minimum 3 fois) des caractères orientant totalement Nord/Sud puis Sud/Nord chacun des grains magnétiques d'une surface afin de totalement perturber la rémanence magnétique. Remarque : on peut aussi envisager la destruction pure et simple du dispositif à coup de masse au lieu de l'abandonner en état de fonctionnement. On peut aussi le poser sur l'aimant d'un subwoofer (haut-parleur de graves d'une chaîne hifi) et écouter un rock des années 60 - effacement complet garanti).
Sous Windows, il existe énormément d'outils, dédiés ou génériques. Par exemple Spybot Search & Destroy ou tous les antivirus ou CCleaner, etc.
Sous Linux ou macOS :
La commande shred (ShredIt sous Mac OS)
Attribuer des comptes et droits utilisateurs adéquats
La clé dispose exactement des mêmes droits que ceux de l'utilisateur courant sous Windows. Si vous permettez le branchement d'une clé alors que vous avez ouvert une session avec droits administratifs, les éventuelles malveillances se trouvant sur la clé (dans le lanceur "Launchpad" par exemple) sauteront dans votre ordinateur avec les droits les plus étendus, ceux d'un administrateur. Il est donc nécessaire de n'autoriser la connexion de clés que sur des sessions avec des droits limités afin de limiter les actions que les applications embarquées dans la clé peuvent accomplir sur et contre le système. Les droits administrateur doivent être réservés à des cas étudiés, comme la maintenance du système (cette règle de base est à observer en toutes circonstances, les dispositifs USB n'étant qu'un cas parmi tous les autres).
Bloquer la Fonction Autorun
L'une des propriétés offertes par Windows, dans sa recherche malheureuse d'un fonctionnement totalement automatique et transparent des ordinateurs, pour utilisateurs maintenus dans l'ignorance, est la fonction Autorun (exécution automatique). Elle consiste en l'exécution automatique d'un logiciel se trouvant à un emplacement réservé sur un dispositif de stockage dès que celui-ci est connecté à un système hôte. Vous pouvez vous en apercevoir lorsque, par exemple, en insérant un DVD, un lecteur de film (un "Player") apparaît automatiquement ou en insérant un CD une fenêtre de navigation Internet Explorer apparaît automatiquement ou une procédure d'installation du logiciel contenu, etc. Normalement, un dispositif USB de stockage ne permet pas cette exécution automatique. Le standard U3 a fait en sorte que ces dispositifs, telles les clés USB, soient vus comme un lecteur de CD ou de DVD lors de leur insertion, rendant ainsi possible la fonction Autorun pour ces dispositifs. Cette fonction n'est pas nécessaire et est dangereuse. Pour désactiver la fonction autorun sous Windows, voir les diverses méthodes possibles dans la FAQ Windows :
Comment désactiver l'autorun ?Verrouiller vos postes
Un poste sans contrôle est sujet à tout type de malversations, entre autres physiques. Ainsi et afin d'éviter des incidents liés à l'insertion de clés USB sur son système, il est important de verrouiller son poste de travail lorsque ce dernier n'est pas utilisé. Chaque fois que vous vous levez pour quitter votre poste de travail, verrouillez-le en maintenant la touche "Windows" enfoncée et en appuyant sur la touche "L" (bien entendu, cela suppose que vous avez créé un ou des comptes utilisateurs (comptes de type "limité") protégés par un mot de passe). Vous pouvez également mettre automatiquement en veille votre session dès que vous n'avez pas utilisé votre clavier ou votre souris depuis plus de "N" minutes : faites un clic droit sur un espace libre de votre fond d'écran, sur le Bureau de Windows
Propriétés Écran de veille Choisir un écran de veille Définir un temps d'inactivité (par exemple 10 minutes) Cochez la case "A la reprise, afficher l'écran d'accueil" Cliquez sur "Appliquer" puis sur "Ok".Affecter une clé par usage
Il faudrait considérer une clé par usage et interdire son déplacement hors des lieux de son utilisation. Si une clé doit être insérée dans un système critique, il est nécessaire de vérifier son origine. Une solution serait de conserver une clé propre, régulièrement formatée, ne sortant jamais du local où elle est utilisée. Il serait également utile de réserver le port USB à l'exclusif usage de cette clé et d'interdire tout branchement d'autre dispositif ou périphérique. Un système hautement critique devrait être dépourvu de tout port de communication et de tout lecteur.
Chiffrement et intégrité des informations contenues dans la clé
Il existe plusieurs solutions assurant l'intégrité et le chiffrement des données contenues sur les clés USB, mais nous nous contenterons à ce niveau de présenter seulement des solutions simples. Notons que les informations relatives à l'intégrité ou au chiffrement ne doivent pas être placées sur la clé elle-même:
Vérifier, en cas de soupçon, tout fichier inconnu trouvé sur une clé USB.
Protéger les données placées sur une clé USB sous une forme chiffrée nécessitant une extraction pour pouvoir les utiliser. Cette solution introduit une étape supplémentaire qui peut paraître contraignante, mais une méthode simple est de stocker toutes les informations sensibles dans un fichier compressé, par exemple de type "ZIP" ou "7zip", ce qui permet de bénéficier simultanément :
De la compression (qui est une forme de cryptage)
De la protection de tous les fichiers se trouvant dans l'archive par un unique mot de passe.
Autres mesures
D'autres mesures non directement liées à l'utilisation des clés USB peuvent être utiles. Lire les 10 commandements.
