En aussi peu que 13 secondes, toutes les données d’une entreprise peuvent être volées en branchant simplement une clé USB. 1
Les agences de renseignement ont utilisé cette approche lors du téléchargement du ver Stuxnet dans une installation nucléaire iranienne,2 mais même les pirates amateurs peuvent réussir avec une approche similaire. Les appareils peuvent transmettre des données à un pirate informatique, même lorsqu’ils sont branchés sur un ordinateur à air gap (un ordinateur qui n’a jamais été connecté à Internet). 3Même les coffres-fort sont sensibles aux attaques par l’utilisation de périphériques USB. 4
La stratégie d’une entreprise pour protéger ses données doit inclure un protocole pour traiter avec les périphériques USB.
Les appareils qui accèdent à un ordinateur via USB (y compris les claviers, les smartphones, les lecteurs externes, etc.) peuvent sembler inoffensifs, mais le simple fait de les brancher peut introduire des virus, des logiciels malveillants et d’autres programmes indésirables. Un périphérique USB peut contenir du matériel nuisible à la fois dans son stockage de mémoire et dans son firmware. 5 Détecter le matériel nuisible dans le firmware peut être extrêmement difficile, même pour une équipe de sécurité informatique chevronnée.
Les entreprises sont généralement prudentes lorsqu’il s’agit de connecter un périphérique USB à partir de sources peu fiables; mais, même lorsqu’un périphérique USB provient d’une source fiable, il est difficile d’établir que son contenu est bénin. L’absence d’intention malveillante de la part d’une partie fournissant un périphérique USB ne garantit pas l’absence d’intention malveillante de la part d’un tiers sous-jacent qui pourrait avoir déjà accédé à l’appareil. De nombreux appareils sont fabriqués avec un logiciel pour donner accès aux cybercriminels6 et les utilisateurs peuvent transférer par inadvertance une infection d’un ordinateur à une clé USB et vice versa sans détection. 7
Même les sources apparemment fiables ne s’avèrent pas toujours dignes de confiance. Un procès récent en Arkansas implique des allégations selon lesquelles le défendeur (un service de police local) a fourni à l’avocat des plaignants un dispositif USB qui devait contenir des documents produits au cours du litige. L’avocat des demandeurs a pris la précaution d’envoyer l’appareil USB à un expert en cybersécurité qui a détecté trois chevaux de Troie distincts sur l’appareil qui ont été conçus pour voler des données et des mots de passe du système auquel l’appareil USB était connecté. 8 Bien que les experts en cybersécurité aient été en mesure de détecter les logiciels nuisibles, les logiciels malveillants plus sophistiqués peuvent ne pas être si facilement détectés.
Certaines entreprises ont déterminé que l’interdiction des périphériques USB est préférable jusqu’à ce que la technologie de sécurité s’améliore. 9En effet, même la sécurité informatique peut être trompée en pensant qu’un appareil nuisible est propre s’ils ne vérifient pas soigneusement le firmware. 10 Si une entreprise décide de renoncer complètement à l’utilisation de périphériques USB, les professionnels de l’informatique peuvent désactiver les ports USB sur les ordinateurs. Certains appareils avec un cryptage logiciel et matériel sont disponibles, mais la fiabilité du fournisseur est critique et ne doit jamais être supposée. Il suffit d’un client mécontent ou d’un escroc pour compromettre entièrement le système d’une entreprise.
Bien que la meilleure pratique puisse être d’interdire complètement les périphériques USB, leur utilisation est standard dans certains domaines d’activité. Dans de telles circonstances, il peut être préférable de former la sécurité informatique pour analyser correctement les appareils et d’imposer un système pour manipuler correctement tout appareil avant qu’il ne puisse accéder au système. N’utilisez pas de périphériques USB que vous recevez lors de conférences.
Enfin, les entreprises doivent empêcher avec vigilance les pirates d’accéder physiquement à leurs ordinateurs. Ne laissez jamais un ordinateur sans surveillance connecté auquel une personne ayant des intentions nuisibles peut avoir accès. Un cyber-voleur peut utiliser un périphérique USB pour pirater un ordinateur même s’il est verrouillé, tant que l’utilisateur reste connecté. 11 Même sans accès à un utilisateur connecté, n’importe qui peut rapidement installer un enregistreur de frappe (un appareil qui se connecte entre la prise USB d’un clavier et le port de l’ordinateur pour enregistrer les frappes qui ne coûtent que 4012 $) et voir tout ce que vous tapez. L’élimination du port USB sur les ordinateurs peut protéger contre ce risque.
Les entreprises qui utilisent des périphériques USB ou qui utilisent des ordinateurs auxquels un périphérique USB peut être connecté courent le risque de voir leurs données compromises et l’exposition à la responsabilité correspondante. Dans ce monde où les menaces à la cybersécurité augmentent, les risques associés aux périphériques USB ne doivent pas être ignorés.
Remarques :
1 Matthew Rosenquist, « PoisonTap USB Device Can Hack a Locked PC in a Minute », DarkReading (6 décembre 2016), [DarkReading].
2 Daniel Terdiman, « Stuxnet Delivered to Iranian Nuclear Plant on Thumb Drive », CNET (12 avril 2012).
3 Dan Goodin, « Meet USBee, the Malware that Uses USB Drives to Covertly Jump Airgaps », arsTechnica (29 août 2016).
4 Yoni Heisler, « Brinks Safe Hacked with USB Stick and 100 Lines of Code », BGR (28 juillet 2015).
5 Andy Greenberg, « Why the Security of USB is Fundamental Broken », Wired (31 juillet 2014), [Wired].
6 Teresa Meek, « 6 Cyber Threats Keeping CIOs Up At Night », Forbes Magazine (8 décembre 2016), [Forbes].
7 Wired, supra, note 5.
8 Dan Goodin, « Lawyer Representing Whistle Blowers Finds Malware on Drive Supplied by Cops », arsTechnica (14 avril 2015).
9 Forbes, supra note 6.
10 Wired, supra note 5.
11 DarkReading, supra note 1.
12 Voir exemple