Méfiez vous de vos clés USB.

Méfiez vous de vos clés USB

Publié le 5 Août 2014


par Tangui Bertin sur FlickR licence cc by sa
Et, de façon générale, de toute sorte d'appareils de stockage portatifs: disquettes, lecteurs MP3... mais surtout clés USB, préviennent deux chercheurs en sécurité informatique.
Elles ont l'air inoffensives, comme ça, quand elles se glissent dans nos poches et nos ordinateurs, en empruntant toute sorte de formes, de tailles et de couleurs. Sauf qu'il n'en est rien: deux chercheurs de sécurité informatique, Karsten Nohl and Jakob Lell, affirment avoir la preuve que les clés USB sont intrinsèquement mauvaises. Et presque bonnes à jeter.
En disséquant pendant plusieurs mois le fonctionnement de ces petits appareils de stockage, ce duo d'experts a en effet découvert qu'il était possible de programmer un logiciel dit «malveillant», ou«malware», dans le code de fonctionnement des clés USB. Celui-là même qui permet l'échange de fichiers entre la clé USB et un ordinateur.
Et pour en apporter la preuve, Karsten Nohl and Jakob Lell ont carrément créé eux-mêmes ce genre de programme, explique Wired, qu'ils ont très judicieusement intitulé «bad usb». Programme qu'ils comptent présenter à l'occasion de la célèbre conférence de sécurité informatique américaine, BlackHat, qui se tient du 2 au 7 août.
Vilaine, vilaine clé USB donc, d'autant plus redoutable que rien, ou presque, ne peut parer à cette exploitation malveillante du code qui les fait tourner, comme l'explique Karsten Nohl, toujours dans Wired:

«Vous pouvez la donner à des spécialistes de la sécurité informatique; ils la scanneront, supprimeront quelques fichiers, et vous la rendront en vous disant qu'elle est "propre".»

Ni le formatage, ni vos antivirus n'auraient la capacité de détecter ce logiciel malveillant qui a la possibilité, résume encore Karsten Nohl, «de faire tout ce que vous pouvez faire avec un clavier». Soit en gros prendre le contrôle de l'ordinateur. Le site spécialisé évoque par exemple l'espionnage des communications, ou la modification de fichiers.
 
 
 
Si les deux experts envisagent une première solution, qui consisterait à faire en sorte que les clés USB n'acceptent sur le logiciel qui les fait touner (ou firmware) que les mises à jour autorisées par les fabricants, ils précisent néanmoins que cette option peut être facilement déjouée.
Seule solution, ou presque: condamner vos ports USB avec de la superglu.
Si le scénario semble un peu extrême, sachez qu'il est vivement recommandé –si ce n'est pratiqué– dans des entreprises et organisations sensibles, où l'information qui y circule se transforme vite en secret à ne surtout pas divulguer.

La version sushi n'est pas moins inoffensive | FlickR licence cc by
A vrai dire, les spécialistes de l'informatique se méfient depuis toujours de tous les supports de stockage mobiles... disquettes comprises, comme le rappelle ici Luc Vallée, de l'Anssi (Agence nationale de la sécurité des systèmes d'information)!
Car qui dit mobile, dit possibilité d'intrusions extérieures: avec une clé USB (ou autre), il est possible de voler des données ou installer des fichiers sur un ordinateur, le tout évidemment à l'insu de son propriétaire.
De nombreuses recommandations officielles, émanant par exemple des organismes responsable de la sécurité des réseaux en France, évoquent ce problème.
Ainsi, cette note de 2006, mise à jour en 2009, du Certa (pour Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques, qui dépend de l'Anssi), préconise explicitement de se méfier de ce genre de demande:

«Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB?... Les batteries sont déchargées, et je ne rentre que demain chez moi. Merci beaucoup!»

Et pour rappel, Stuxnet, l'un des plus célèbres virus de l'Histoire, s'est également appuyé sur une clé USB. A priori développé par les services de renseignements américains, ce virus a réussi à pénétrer la zone ultra-sécurisée d'une usine nucléaire en Iran très probablement grâce au manque de vigilance d'un employé du site. Ou, comme le résumait à l'époque de manière moins sympathique un instigateur du projet dans le New York Times:

Oui... n'importe quel informaticien en herbe, même de bas niveau;
- peut investir votre ordinateur
- contrôler tout ce qui est systèmes informatiques, comme les solutions de protection par camera ou autre
- obtenir les informations bancaires: numéro de compte etc...
- bref avoir un contrôle total. Et honnêtement c'est pas très dur.

Maintenant pas de quoi s'affoler; la Banque rembourse, et les diffusions de vidéos provenant des webcam ou autre sont scrupuleusement contrôlées.

Pour "monsieur tout le monde"; rien à craindre.
Et pour être harcelé par un groupe de hackers ou la gendarmerie nationale (qui sont loin d’être des analphabètes)
Il en faut beaucoup. Et personne sur ce site n'a ce profil (simple hypothèse de ma part).

Au pire deux trois infos sur vos profils "virtuels" sont stockés quelque part. Mais rien de bien méchant..........