PodSlurping (Pod Slurping)
Vol de données de/vers un périphérique portable (dont en USB) - PodSlurping (Pod Slurping)
|
||||
| |
Vol de données d'un ordinateur vers un périphérique portable.
Podslurping est un néologisme formé de :
Les dispositifs à la norme U3 se reconnaissent à ce logo et sont "actifs" :
Vol de données de l'ordinateur hôte vers le dispositif mobile :
Le dispositif portable U3 peut contenir un amorçage automatique ("autorun" sous Windows). La clé USB U3 en est l'archétype. Lorsqu'elle est branchée sur une machine, un spyware peut être implanté silencieusement sur la machine et exécuter les fonctions pour lesquelles il a été programmé (vol des mots de passe, du carnet d'adresse, de documents spécifiques... mais aussi (c'est une autre histoire mais la présence d'un port USB est une faille de sécurité) accès au serveur d'un réseau d'entreprise pour y implanter une porte dérobée qui sera utilisée plus tard (backdoor) ou effectuer d'autres attaques etc. ...).
Ce type d'attaque, le PodSlurping, n'est pas forcément "automatique" avec le standard U3. Il peut s'effectuer avec tout dispositif portable à mémoire (pas uniquement les clés USB et pas uniquement au standard U3). L'attaque PodSlurping consiste à brancher, sur un système, un support de stockage quelconque (un baladeur numérique peut faire l'affaire) afin de dérober furtivement l'information contenue sur le système. Par exemple, il suffit de prétendre que les batteries de son lecteur MP3 ou de son appareil photo-numérique sont déchargées et demander l'autorisation de se brancher quelques minutes sur un port USB (qui véhicule également des courants d'alimentation en plus des données) pour lancer discrètement et silencieusement une copie d'une partie d'un disque dur vers ce périphérique amovible dont les capacités de stockage peuvent être très importante (jusqu'à 160 gigaoctets en septembre 2007 avec l'iPod de sixième génération).
Vol de données du dispositif mobile vers l'ordinateur hôte :
L'attaque peut se conduire en sens inverse également : de la clé vers l'ordinateur.
Un processus tournant en arrière plan, dissimulé par un crochetage (hook) afin de ne pas apparaître dans la liste des processus, comme la plupart des codes malveillants actuels, peut très bien attendre qu'une clé soit branchée pour lancer la copie de son contenu. Un tel processus ne sera pas facilement détectable sur le poste hôte d'autant que, le plus souvent, le possesseur de la clé n'est généralement pas le possesseur de la machine hôte (machine chez un fournisseur, un client, un cybercafé, un "ami" etc. ...).
Certains outils voleurs permettent même de faire une image complète de la clé (toute la mémoire y compris celle sensée ne pas/plus contenir de données). Le vol s'étend alors non seulement aux documents présents mais aussi aux documents que vous croyez avoir effacés (sous Windows, l'effacement normal d'un document ne fait qu'altérer le premier caractère du nom de ce document dans la table des matières du volume - le contenu du document reste intact tant que la mémoire n'est pas ré-utilisée pour d'autres données). Ces outils permettent donc à l'attaquant de "récupérer" des documents que vous croyez effacés sur la clé USB parce que leurs noms ne s'affichent pas lors de l'exploration ordinaire de la clé avec l'explorateur de Windows.
Depuis quand le PodSlurping ?
Si le mot de "podslurping" est né vers les années 2005, l'idée et la pratique sont aussi vieilles que les disquettes, seules la capacité et la vitesse des supports ayant changé et rendant l'opération de plus en plus simple, rapide et portant sur des quantités de données de plus en plus grandes.
Que faire ?
Veuillez installer sur vos PCs un bon antivirus, tel Kaspersky KAV, et un bon anti-spywares tel AVG Anti-spywares.
Veuillez désactiver l'autorun.
Ne pas oublier qu'un port USB est une faille de sécurité !
Podslurping est un néologisme formé de :
- Pod pour iPod (le lecteur portatif de musique numérique de la société Apple (aussi appelé "baladeur numérique" ou, d'une manière réductrice, "baladeur mp3") le plus vendu au monde)
- Slurp pour l'onomatopée évoquant la succion, l'aspiration.
Les dispositifs à la norme U3 se reconnaissent à ce logo et sont "actifs" :
Vol de données de l'ordinateur hôte vers le dispositif mobile :
Le dispositif portable U3 peut contenir un amorçage automatique ("autorun" sous Windows). La clé USB U3 en est l'archétype. Lorsqu'elle est branchée sur une machine, un spyware peut être implanté silencieusement sur la machine et exécuter les fonctions pour lesquelles il a été programmé (vol des mots de passe, du carnet d'adresse, de documents spécifiques... mais aussi (c'est une autre histoire mais la présence d'un port USB est une faille de sécurité) accès au serveur d'un réseau d'entreprise pour y implanter une porte dérobée qui sera utilisée plus tard (backdoor) ou effectuer d'autres attaques etc. ...).
Ce type d'attaque, le PodSlurping, n'est pas forcément "automatique" avec le standard U3. Il peut s'effectuer avec tout dispositif portable à mémoire (pas uniquement les clés USB et pas uniquement au standard U3). L'attaque PodSlurping consiste à brancher, sur un système, un support de stockage quelconque (un baladeur numérique peut faire l'affaire) afin de dérober furtivement l'information contenue sur le système. Par exemple, il suffit de prétendre que les batteries de son lecteur MP3 ou de son appareil photo-numérique sont déchargées et demander l'autorisation de se brancher quelques minutes sur un port USB (qui véhicule également des courants d'alimentation en plus des données) pour lancer discrètement et silencieusement une copie d'une partie d'un disque dur vers ce périphérique amovible dont les capacités de stockage peuvent être très importante (jusqu'à 160 gigaoctets en septembre 2007 avec l'iPod de sixième génération).
Vol de données du dispositif mobile vers l'ordinateur hôte :
L'attaque peut se conduire en sens inverse également : de la clé vers l'ordinateur.
Un processus tournant en arrière plan, dissimulé par un crochetage (hook) afin de ne pas apparaître dans la liste des processus, comme la plupart des codes malveillants actuels, peut très bien attendre qu'une clé soit branchée pour lancer la copie de son contenu. Un tel processus ne sera pas facilement détectable sur le poste hôte d'autant que, le plus souvent, le possesseur de la clé n'est généralement pas le possesseur de la machine hôte (machine chez un fournisseur, un client, un cybercafé, un "ami" etc. ...).
Certains outils voleurs permettent même de faire une image complète de la clé (toute la mémoire y compris celle sensée ne pas/plus contenir de données). Le vol s'étend alors non seulement aux documents présents mais aussi aux documents que vous croyez avoir effacés (sous Windows, l'effacement normal d'un document ne fait qu'altérer le premier caractère du nom de ce document dans la table des matières du volume - le contenu du document reste intact tant que la mémoire n'est pas ré-utilisée pour d'autres données). Ces outils permettent donc à l'attaquant de "récupérer" des documents que vous croyez effacés sur la clé USB parce que leurs noms ne s'affichent pas lors de l'exploration ordinaire de la clé avec l'explorateur de Windows.
Depuis quand le PodSlurping ?
Si le mot de "podslurping" est né vers les années 2005, l'idée et la pratique sont aussi vieilles que les disquettes, seules la capacité et la vitesse des supports ayant changé et rendant l'opération de plus en plus simple, rapide et portant sur des quantités de données de plus en plus grandes.
Que faire ?
Veuillez installer sur vos PCs un bon antivirus, tel Kaspersky KAV, et un bon anti-spywares tel AVG Anti-spywares.
Veuillez désactiver l'autorun.
Ne pas oublier qu'un port USB est une faille de sécurité !
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music