Clé USB - Risques et menaces liés aux clés USB

Une clé USB peut servir à infecter des machines et voler des données

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Les clés USB (Universal Serial Bus) représentent aujourd'hui un support privilégié pour le stockage et le transport de données et donc le vol de données et l'inoculation de parasites, surtout depuis le standard U3. Elles permettent une utilisation beaucoup plus souple et un espace disponible beaucoup plus important que les autres supports amovibles utilisés aussi bien dans le cadre professionnel que personnel.

Ce guide présente les différents risques relatifs à l'utilisation de ces clés, ainsi que les différentes mesures préventives afin de s'en protéger.
Risques et menaces associés au clés USB:

  • Vols d'informations - PodSlurping
    Le contenu d'une clé USB peut être intégralement et silencieusement copié sur la machine hôte, à l'insu de son propriétaire, au moment où elle est branchée sur un poste qui s'avère hostile ou avec un utilisateur qui s'avère hostile. Le risque est donc que n'importe qui peut dérober avec une simplicité enfantine et en un instant le contenu de n'importe quelle clé sur n'importe quelle machine où elle est branchée. L'inverse est également vrai et le propriétaire d'une clé USB peut dans les mêmes conditions voler des données se trouvant sur une machine avec une désarmante facilité et en très peu de temps et très peu de manipulation, voir en automatisant totalement l'attaque.

    • Vols de la clé vers l'ordinateur :
      Un processus tournant en arrière plan, dissimulé par un crochetage (hook) afin de ne pas apparaître dans la liste des processus, comme la plupart des codes malveillants actuels, peut très bien attendre qu'une clé soit branchée pour lancer la copie de son contenu. Un tel processus ne sera pas facilement détectable sur le poste hôte d'autant que, le plus souvent, le possesseur de la clé n'est généralement pas le possesseur de la machine hôte (machine chez un fournisseur, un client, un cybercafé, un "ami" etc. ...).

      Certains outils voleurs permettent même de faire une image complète de la clé (toute la mémoire y compris celle sensée ne pas/plus contenir de données). Le vol s'étend alors non seulement aux documents présents mais aussi aux documents que vous croyez avoir effacés (sous Windows, l'effacement normal d'un document ne fait qu'altérer le premier caractère du nom de ce document dans la table des matières du volume - le contenu du document reste intact tant que la mémoire n'est pas ré-utilisée pour d'autres données). Ces outils permettent donc à l'attaquant de "récupérer" des documents que vous croyez effacés sur la clé USB parce que leurs noms ne s'affichent pas lors de l'exploration ordinaire de la clé avec l'explorateur de Windows.

    • Vol de l'ordinateur vers la clé :
      Mettons de côté le cas de figure où le propriétaire de la clé peut s'asseoir devant l'ordinateur et y faire les manipulations qu'il souhaite (explorer les volumes de la machine et copier des fichiers vers sa clé). La clé peut contenir un amorçage automatique ("autorun" sous Windows) et, lorsqu'elle est branchée sur une machine un spyware peut être implanté silencieusement sur la machine et exécuter les fonctions pour lesquelles il a été programmé (vol des mots de passe, du carnet d'adresse, de documents spécifiques... mais aussi, c'est une autre histoire dans les failles de sécurité - et un port USB est une faille de sécurité sur certaines machines - accès au serveur d'un réseau d'entreprise pour y implanter une porte dérobée qui sera utilisée plus tard (backdoor) et autres attaques etc. ...). Ce type d'attaque est connu sous le nom de "podslurping" (en référence au produit iPod d'Apple). Elle s'effectue depuis le périphérique (pas uniquement les clés USB). Elle consiste à brancher, sur un système, un support de stockage quelconque (un lecteur MP3 peut faire l'affaire) afin de dérober furtivement l'information contenue sur le système. Par exemple, il suffit de prétendre que les batteries de son lecteur MP3 ou de son appareil photo-numérique sont déchargées et demander l'autorisation de se brancher quelques minutes sur un port USB (qui véhicule également des courants d'alimentation en plus des données) pour lancer silencieusement une copie d'une partie d'un disque dur vers ce périphérique amovible dont les capacités de stockage peuvent être très importante (jusqu'à plusieurs giga octets). Si le mot de "podslurping" est né vers les années 2005, l'idée et la pratique sont aussi vieilles que les disquettes, seules la capacité et la vitesse des supports ayant changé et rendant l'opération de plus en plus simple, rapide et portant sur des quantités de données de plus en plus grandes.

  • Exécution automatique d'applications ou de codes malicieux contenus dans la clé
    Attaque du poste sur lequel la clé est branchée. Evidemment, il y a le cas de figure où l'attaquant est le propriétaire de la clé et balade celle-ci sur les machines qu'il souhaite contaminer comme au temps des disquettes. Examinons plutôt les attaques silencieuses à l'insu du propriétaire de la clé. Un employé d'une société dont on souhaite pénétrer le système peut voir sa clé USB attaquée : il suffit de polluer sa clé USB avec du code malicieux en y installant manuellement un fichier infecté, si l'on a un accès physique à la clé, soit automatiquement par un cheval de Troie sur son ordinateur personnel, hôte habituel de sa clé USB, afin de polluer la clé USB visée puis d'attendre que la clé soit branchée sur un nouveau poste pour que la charge utile (payload) du code malicieux soit déclenchée.

    L'attaque est déclenchée automatiquement, dès l'insertion de la clé USB, sur les ordinateurs n'ayant pas désactivé la fonction "Autorun" (qui permet le lancement automatique des CD-ROM dès leur insertion).

    La fonction "Autorun" ne fonctionne pas normalement pour une clé USB  puisqu' elle est reconnue par Windows comme un disque amovible, et donc jugée comme source non sûre. Cependant, il est possible de faire passer certaines clés USB pour un CD-ROM : lorsque la clé est insérée, Windows voit alors cette clé comme étant un CD-ROM (au lieu d'un disque amovible) et exécute automatiquement le fichier "autorun.inf" présent sur la clé.

    Ceci peut être réalisé très facilement avec les clés USB de type "U3". Le standard "U3" permet d'embarquer sur des clés USB des applications autonomes qui s'exécutent sur la clé. Les clés conformes "U3" sont disponibles couramment depuis l'automne 2005, et depuis l'été 2006 la méthode pour configurer une clé "U3" en clé d'attaque a été largement diffusée sur l'Internet.

    Les clés "U3" sont susceptibles de contenir plusieurs  informations personnelles ou confidentielles. Le vol de celles-ci peut avoir des conséquences importantes:

    • la configuration du client de messagerie 
    • les contacts stockés par le client de messagerie
    • les pages en cache du navigateur Internet 
    • les sites favoris installés sur le navigateur
    • des mots de passe gérés par une application dédiée (application fréquemment offerte par défaut avec la clé).

    Les clés "U3" sont généralement fournies avec un lanceur (Launchpad). Une fois la clé insérée ce lanceur donne accès aux applications. Certains lanceurs malveillants permettent d'exécuter directement des actions à l'insertion de la clé, et sont fournis avec des outils permettant de récupérer les tables de mots de passe, d'installer une capture de clavier ou un rootkit.

    Le lanceur légitime des dispositifs conformes au standard U3 :

    standard U3, norme U3, plate-forme U3

Mesures préventives

  1. Bloquer la clé en écriture
    Certains dispositifs USB présentent un interrupteur physique (par exemple à l'extérieur d'une clé USB), qui permet de bloquer l'accès en écriture au dispositif. Si cela ne protège pas du vol d'informations et donc des différentes problématiques de confidentialité, cela empêche des éléments extérieurs, sur le système hôte, de modifier le contenu du dispositif (implanter un Launchpad malveillant permettant de propager un parasite en le faisant sauter d'une machine à une autre...), ou d'effacer le contenu du dispositif USB par une fausse manipulation ou par malveillance à l'insu de son utilisateur.


  2. Nettoyer proprement le contenu de la clé
    Les dispositifs USB peuvent contenir des données sensibles. Avant de les prêter ou de les abandonner, il est important de bien nettoyer leur espace de stockage, ou d'assurer la confidentialité de leur contenu. En fonction des impératifs et des réglementations (matériel militaire...), certaines opérations doivent être conduites. La suppression n'est souvent pas suffisante pour détruire complètement toute trace d'un document. La suppression d'un document sous Windows consiste, pour Windows, à remplacer le premier caractère du nom du document, dans la table des documents (la table des matières d'un répertoire), par un caractère "réservé" (spécial). Les données du document en lui-même restent intactes tant que l'espace libéré n'est pas ré-utilisé pour un autre document. Dans un dispositif à mémoire de type clé USB ou "baladeur numérique", l'effacement définitif sans possibilité de retour consiste simplement en l'écriture de zéros binaires ou uns binaires (mettre tous les bits à zéro ou à un). Il existe des outils logiciels gratuits pour faire cela dit "effaceurs de sécurité simple" ou "shredders 1 passe" sont suffisants - voir ci-dessous.

    Rappelons que pour effacer un document sans passer par la case "poubelle de Windows", (sans possibilité de le récupérer dans la poubelle) il faut appuyer sur la touche "majuscule" et la maintenir enfoncée lorsque l'on supprime un fichier manuellement (touche "suppr").

    Nettoyer proprement un dispositif magnétique
    Sur un dispositif magnétique (baladeur numérique à disque dur pouvant atteindre 160 gigaoctets de stockage comme l'iPod de sixième génération de septembre 2007) l'effacement sans possibilité de révélation des anciens contenus ne peut être atteint qu'avec un effacement de sécurité à plusieurs "passes" qui a été décrit dans de nombreux documents (généralement militaires, déclassifiés, ce qui à propulsé leur popularité) :
    Entendons-nous sur cette notion de révélation : il est possible de révéler un ancien contenu d'un disque dur (ou de toute surface magnétique) en utilisant un matériel permettant de révéler les anciennes positions Nord/Sud Sud/Nord des unités magnétiques d'une surface même si celles-ci ont été ré-écrites. Ce genre de précaution est à prendre uniquement lorsqu'il s'agit d'abandonner un matériel ayant contenu des données sensibles (vente, rebus...) ou de permettre à un technicien de la chose d'intervenir dessus (service de maintenance...). Ceci ne concerne absolument pas le risque de lecture du contenu de votre dispositif USB, lorsque vous le branchez sur une machine hôte, même en image ISO intégrale, avec un logiciel d'espionnage (de capture). L'usage d'un effaceur de sécurité simple à une passe suffit.

    L'usage d'un effaceur de sécurité à plusieurs "passes" ne concerne que des cas très particuliers dans lesquels la rémanence magnétique peut être révélée, en laboratoire, après démontage des plateaux du disque dur entraînant la destruction physique définitive du disque. On l'utilisera donc avant d'abandonner un dispositif à mémoire magnétique ayant contenu des données sensibles. Il s'agit d'espionnage de très haute volée coûtant extrêmement chers, permettant de récupérer des milliards de 0 et de 1 qu'il reste ensuite à tenter de rendre cohérents en devinant quelle était la structure initiale et le type initial des données (était-ce des mots de 7 bits ? de 8 bits ? de 16 bits ? de 32 bits ? Un document Word ? Une feuille Excel ? En clair ou crypté ? Crypté avec quoi ?...

    Certains outils, appelés Shredders ou "Effaceurs de sécurité" permettent de faire un nettoyage de type DOD 5220.22-M en écrivant plusieurs fois de suite (minimum 3 fois) des caractères orientant totalement Nord/Sud puis Sud/Nord chacun des grains magnétiques d'une surface afin de totalement perturber la rémanence magnétique. Remarque : on peut aussi envisager la destruction pure et simple du dispositif à coup de masse au lieu de l'abandonner en état de fonctionnement. On peut aussi le poser sur l'aimant d'un subwoofer (haut-parleur de graves d'une chaîne HiFi) et écouter un rock des années 60 - effacement complet garanti).

    Sous Windows, il existe énormément d'outils, dédiés ou génériques. Par exemple :
    Sous Linux ou MacOS :
  3. Attribuer des comptes et droits utilisateurs adéquats
    La clé dispose exactement des mêmes droits que ceux de l'utilisateur courant sous Windows. Si vous permettez le branchement d'une clé alors que vous avez ouvert une session avec droits administratifs, les éventuelles malveillances se trouvant sur la clé (dans le lanceur "Launchpad" par exemple) sauteront dans votre ordinateur avec les droits les plus étendus, ceux d'un administrateur. Il est donc nécessaire de n'autoriser la connexion de clés que sur des sessions avec des droits limités afin de limiter les actions que les applications embarquées dans la clé peuvent accomplir sur et contre le système. Les droits administrateur doivent être réservés à des cas étudiés, comme la maintenance du système (cette règle de base est à observer en toutes circonstances, les dispositifs USB n'étant qu'un cas parmi tous les autres).

  4. Bloquer la Fonction Autorun
    L'une des propriétés offerte par Windows, dans sa recherche malheureuse d'un fonctionnement totalement automatique et transparent des ordinateurs, pour utilisateurs maintenus dans l'ignorance, est la fonction Autorun (exécution automatique). Elle consiste en l'exécution automatique d'un logiciel se trouvant à un emplacement réservé sur un dispositif de stockage dès que celui-ci est connecté à un système hôte. Vous pouvez vous en apercevoir lorsque, par exemple, en insérant un DVD, un lecteur de film (un "Player") apparaît automatiquement ou en insérant un CD une fenêtre de navigation Internet Explorer apparaît automatiquement ou une procédure d'installation du logiciel contenu etc. .... Normalement, un dispositif USB de stockage ne permet pas cette exécution automatique. Le standard U3 a fait en sorte que ces dispositifs, telles les clés USB, soient vues comme un lecteur de CD ou de DVD lors de leur insertion, rendant ainsi possible la fonction Autorun pour ces dispositifs. Cette fonction n'est pas nécessaire et est dangereuse. Pour désactiver la fonction autorun sous Windows, voir les diverses méthodes possibles dans la FAQ Windows :
    Comment désactiver l'autorun ?

  5. Verrouiller vos postes
    Un poste sans contrôle est sujet à tout type de malversations, entre autre physiques. Ainsi et afin d'éviter des incidents liés à l'insertion de clés USB sur son système, il est  important de verrouiller son poste de travail lorsque ce dernier n'est pas utilisé. Chaque fois que vous vous levez pour quitter votre poste de travail, verrouillez-le en maintenant la touche "Windows" enfoncée et en appuyant sur la touche "L" (bien entendu, cela suppose que vous avez créé un ou des comptes utilisateurs (comptes de type "limité") protégés par un mot de passe). Vous pouvez également mettre automatiquement en veille votre session dès que vous n'avez pas utilisé votre clavier ou votre souris depuis plus de "N" minutes : faites un clic droit sur un espace libre de votre fond d'écran, sur le Bureau de Windows > Propriétés > Ecran de veille > Choisir un écran de veille > Définir un temps d'inactivité (par exemple 10 minutes) > Cochez la case "A la reprise, afficher l'écran d'accueil" > Cliquez sur "Appliquer" puis sur "Ok".

  6. Affecter une clé par usage
    Il faudrait considérer une clé par usage et interdire son déplacement hors des lieux de son utilisation. Si une clé doit être insérée dans un système critique, il est nécessaire de vérifier son origine. Une solution serait de conserver une clé propre, régulièrement formatée, ne sortant jamais du local où elle est utilisée. Il serait également utile de réserver le port USB à l'exclusif usage de cette clé et d'interdire tout branchement d'autre dispositif ou périphérique. Un système hautement critique devrait être dépourvu de tout port de communication et de tout lecteur.

  7. Chiffrement et intégrité des informations contenues dans la clé
    Il existe plusieurs solutions assurant l'intégrité et le chiffrement des données contenues sur les clé USB, mais nous nous contenterons à ce niveau de présenter seulement des solutions simples. Notons que les informations relatives à l'intégrité ou au chiffrement ne doivent pas être placées sur la clé elle même:
    • Vérifier, en cas de soupçon, tout fichier inconnu trouvé sur une clé USB.
    • Protéger les données placées sur une clé USB sous une forme chiffrée nécessitant une extraction pour pouvoir les utiliser. Cette solution introduit une étape supplémentaire qui peut paraître contraignante mais une méthode simple est de stocker toutes les informations sensibles dans un fichier compressé, par exemple de type "ZIP" ou "7zip", ce qui permet de bénéficier simultanément :
      • de la compression (qui est une forme de cryptage)
      • de la protection de tous les fichiers se trouvant dans l'archive par un unique mot de passe.

  8. Autres mesures
    D'autres mesures non directement liées à l'utilisation des clés USB peuvent être utiles. Lire les 10 commandements.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

02.01.2008 Initial
 
   
Rédigé en écoutant :
Music