Méfiez vous de vos clés USB.
2 participants
Page 1 sur 1
Méfiez vous de vos clés USB.
Méfiez vous de vos clés USB
Publié le 5 Août 2014
par Tangui Bertin sur FlickR licence cc by sa
Et, de façon générale, de toute sorte d'appareils de stockage portatifs: disquettes, lecteurs MP3... mais surtout clés USB, préviennent deux chercheurs en sécurité informatique.
Elles ont l'air inoffensives, comme ça, quand elles se glissent dans nos poches et nos ordinateurs, en empruntant toute sorte de formes, de tailles et de couleurs. Sauf qu'il n'en est rien: deux chercheurs de sécurité informatique, Karsten Nohl and Jakob Lell, affirment avoir la preuve que les clés USB sont intrinsèquement mauvaises. Et presque bonnes à jeter.
En disséquant pendant plusieurs mois le fonctionnement de ces petits appareils de stockage, ce duo d'experts a en effet découvert qu'il était possible de programmer un logiciel dit «malveillant», ou«malware», dans le code de fonctionnement des clés USB. Celui-là même qui permet l'échange de fichiers entre la clé USB et un ordinateur.
Et pour en apporter la preuve, Karsten Nohl and Jakob Lell ont carrément créé eux-mêmes ce genre de programme, explique Wired, qu'ils ont très judicieusement intitulé «bad usb». Programme qu'ils comptent présenter à l'occasion de la célèbre conférence de sécurité informatique américaine, BlackHat, qui se tient du 2 au 7 août.
Vilaine, vilaine clé USB donc, d'autant plus redoutable que rien, ou presque, ne peut parer à cette exploitation malveillante du code qui les fait tourner, comme l'explique Karsten Nohl, toujours dans Wired:
Si les deux experts envisagent une première solution, qui consisterait à faire en sorte que les clés USB n'acceptent sur le logiciel qui les fait touner (ou firmware) que les mises à jour autorisées par les fabricants, ils précisent néanmoins que cette option peut être facilement déjouée.
Seule solution, ou presque: condamner vos ports USB avec de la superglu.
Si le scénario semble un peu extrême, sachez qu'il est vivement recommandé –si ce n'est pratiqué– dans des entreprises et organisations sensibles, où l'information qui y circule se transforme vite en secret à ne surtout pas divulguer.
La version sushi n'est pas moins inoffensive | FlickR licence cc by
A vrai dire, les spécialistes de l'informatique se méfient depuis toujours de tous les supports de stockage mobiles... disquettes comprises, comme le rappelle ici Luc Vallée, de l'Anssi (Agence nationale de la sécurité des systèmes d'information)!
Car qui dit mobile, dit possibilité d'intrusions extérieures: avec une clé USB (ou autre), il est possible de voler des données ou installer des fichiers sur un ordinateur, le tout évidemment à l'insu de son propriétaire.
De nombreuses recommandations officielles, émanant par exemple des organismes responsable de la sécurité des réseaux en France, évoquent ce problème.
Ainsi, cette note de 2006, mise à jour en 2009, du Certa (pour Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques, qui dépend de l'Anssi), préconise explicitement de se méfier de ce genre de demande:
Publié le 5 Août 2014
par Tangui Bertin sur FlickR licence cc by sa
Et, de façon générale, de toute sorte d'appareils de stockage portatifs: disquettes, lecteurs MP3... mais surtout clés USB, préviennent deux chercheurs en sécurité informatique.
Elles ont l'air inoffensives, comme ça, quand elles se glissent dans nos poches et nos ordinateurs, en empruntant toute sorte de formes, de tailles et de couleurs. Sauf qu'il n'en est rien: deux chercheurs de sécurité informatique, Karsten Nohl and Jakob Lell, affirment avoir la preuve que les clés USB sont intrinsèquement mauvaises. Et presque bonnes à jeter.
En disséquant pendant plusieurs mois le fonctionnement de ces petits appareils de stockage, ce duo d'experts a en effet découvert qu'il était possible de programmer un logiciel dit «malveillant», ou«malware», dans le code de fonctionnement des clés USB. Celui-là même qui permet l'échange de fichiers entre la clé USB et un ordinateur.
Et pour en apporter la preuve, Karsten Nohl and Jakob Lell ont carrément créé eux-mêmes ce genre de programme, explique Wired, qu'ils ont très judicieusement intitulé «bad usb». Programme qu'ils comptent présenter à l'occasion de la célèbre conférence de sécurité informatique américaine, BlackHat, qui se tient du 2 au 7 août.
Vilaine, vilaine clé USB donc, d'autant plus redoutable que rien, ou presque, ne peut parer à cette exploitation malveillante du code qui les fait tourner, comme l'explique Karsten Nohl, toujours dans Wired:
Ni le formatage, ni vos antivirus n'auraient la capacité de détecter ce logiciel malveillant qui a la possibilité, résume encore Karsten Nohl, «de faire tout ce que vous pouvez faire avec un clavier». Soit en gros prendre le contrôle de l'ordinateur. Le site spécialisé évoque par exemple l'espionnage des communications, ou la modification de fichiers.«Vous pouvez la donner à des spécialistes de la sécurité informatique; ils la scanneront, supprimeront quelques fichiers, et vous la rendront en vous disant qu'elle est "propre".»
Si les deux experts envisagent une première solution, qui consisterait à faire en sorte que les clés USB n'acceptent sur le logiciel qui les fait touner (ou firmware) que les mises à jour autorisées par les fabricants, ils précisent néanmoins que cette option peut être facilement déjouée.
Seule solution, ou presque: condamner vos ports USB avec de la superglu.
Si le scénario semble un peu extrême, sachez qu'il est vivement recommandé –si ce n'est pratiqué– dans des entreprises et organisations sensibles, où l'information qui y circule se transforme vite en secret à ne surtout pas divulguer.
La version sushi n'est pas moins inoffensive | FlickR licence cc by
A vrai dire, les spécialistes de l'informatique se méfient depuis toujours de tous les supports de stockage mobiles... disquettes comprises, comme le rappelle ici Luc Vallée, de l'Anssi (Agence nationale de la sécurité des systèmes d'information)!
Car qui dit mobile, dit possibilité d'intrusions extérieures: avec une clé USB (ou autre), il est possible de voler des données ou installer des fichiers sur un ordinateur, le tout évidemment à l'insu de son propriétaire.
De nombreuses recommandations officielles, émanant par exemple des organismes responsable de la sécurité des réseaux en France, évoquent ce problème.
Ainsi, cette note de 2006, mise à jour en 2009, du Certa (pour Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques, qui dépend de l'Anssi), préconise explicitement de se méfier de ce genre de demande:
Et pour rappel, Stuxnet, l'un des plus célèbres virus de l'Histoire, s'est également appuyé sur une clé USB. A priori développé par les services de renseignements américains, ce virus a réussi à pénétrer la zone ultra-sécurisée d'une usine nucléaire en Iran très probablement grâce au manque de vigilance d'un employé du site. Ou, comme le résumait à l'époque de manière moins sympathique un instigateur du projet dans le New York Times:«Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB?... Les batteries sont déchargées, et je ne rentre que demain chez moi. Merci beaucoup!»
Nelly1- Électron Libre
- Messages : 2255
Date d'inscription : 15/10/2013
Localisation : Québec Canada
Re: Méfiez vous de vos clés USB.
Oui... n'importe quel informaticien en herbe, même de bas niveau;
- peut investir votre ordinateur
- contrôler tout ce qui est systèmes informatiques, comme les solutions de protection par camera ou autre
- obtenir les informations bancaires: numéro de compte etc...
- bref avoir un contrôle total. Et honnêtement c'est pas très dur.
Maintenant pas de quoi s'affoler; la Banque rembourse, et les diffusions de vidéos provenant des webcam ou autre sont scrupuleusement contrôlées.
Pour "monsieur tout le monde"; rien à craindre.
Et pour être harcelé par un groupe de hackers ou la gendarmerie nationale (qui sont loin d’être des analphabètes)
Il en faut beaucoup. Et personne sur ce site n'a ce profil (simple hypothèse de ma part).
Au pire deux trois infos sur vos profils "virtuels" sont stockés quelque part. Mais rien de bien méchant..........
- peut investir votre ordinateur
- contrôler tout ce qui est systèmes informatiques, comme les solutions de protection par camera ou autre
- obtenir les informations bancaires: numéro de compte etc...
- bref avoir un contrôle total. Et honnêtement c'est pas très dur.
Maintenant pas de quoi s'affoler; la Banque rembourse, et les diffusions de vidéos provenant des webcam ou autre sont scrupuleusement contrôlées.
Pour "monsieur tout le monde"; rien à craindre.
Et pour être harcelé par un groupe de hackers ou la gendarmerie nationale (qui sont loin d’être des analphabètes)
Il en faut beaucoup. Et personne sur ce site n'a ce profil (simple hypothèse de ma part).
Au pire deux trois infos sur vos profils "virtuels" sont stockés quelque part. Mais rien de bien méchant..........
Mirage- Bébé électron
- Messages : 23
Date d'inscription : 19/07/2014
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|
Aujourd'hui à 15:24 par Nelly1
» Fusion-Union-Absolu
Aujourd'hui à 14:55 par Nelly1
» Le web journal d’Alexis Cossette.
Sam 11 Mai 2024, 19:04 par Nelly1
» La marche pour l’élévation.
Mar 07 Mai 2024, 19:59 par Nelly1
» Ukraine : une guerre américaine de plus ? – Pierre De Gaulle
Ven 26 Avr 2024, 23:16 par Foudre
» Climat: The Movie (The Cold Truth)
Dim 21 Avr 2024, 00:31 par Foudre
» Israël / Iran : les médias dans quel camp ?
Jeu 18 Avr 2024, 20:35 par Foudre
» Philippe Guillemant
Mar 16 Avr 2024, 15:00 par Foudre
» Ce néofascisme qui vient...
Mer 03 Avr 2024, 02:52 par Foudre
» « Brigitte » Macron : vers la piste transsexuelle ?
Mar 02 Avr 2024, 19:25 par Foudre
» SYMPOSIUM GALACTIQUE EXOVISION Mars 2024
Mar 02 Avr 2024, 00:57 par Foudre
» Le corps nous parle à travers la douleur et la maladie
Jeu 28 Mar 2024, 18:37 par Nelly1
» Chemin initiatique pascal 2024 par Maître St Germain
Jeu 28 Mar 2024, 16:33 par Foudre
» Attentat de Moscou le 22/3/24
Mar 26 Mar 2024, 15:39 par Foudre
» Mort voici ta défaite ! Dr Jean-Jacques Charbonier et Philippe Bobola .
Mer 06 Mar 2024, 00:29 par Foudre
» Le scénario était écrit. SPARS Pandemic 2025-2028 / Clade X (Institut Johns Hopkins)
Dim 25 Fév 2024, 14:23 par Foudre
» L'irradance solaire est le principal facteur de l'évolution du climat
Mar 06 Fév 2024, 23:26 par Foudre
» Révolte des agriculteurs 2024 en France et en Europe
Mar 30 Jan 2024, 17:26 par Foudre
» Bonne année 2024
Mar 23 Jan 2024, 01:21 par Nelly1
» 2024, enfin le changement ?
Lun 22 Jan 2024, 17:41 par Foudre
» Jean-Pierre Petit, le génie français qui bouscule la science depuis 40 ans
Dim 21 Jan 2024, 17:43 par Foudre
» "Je veux reconstruire la France de mon grand-père !"- Pierre de Gaulle
Ven 19 Jan 2024, 01:48 par Foudre
» Thierry Casasnovas
Jeu 18 Jan 2024, 11:44 par Foudre
» Philippe Bobola: "Créer le meilleur futur possible en contactant son double quantique".
Mar 16 Jan 2024, 02:10 par Foudre
» Gouvernement Attal, remaniement, écoles privées et des vélos - Le Journal des bonnes nouvelles
Dim 14 Jan 2024, 21:40 par Foudre
» « Il faut continuer à exciter les foules pour obtenir la soumission » – Ariane Bilheran
Dim 14 Jan 2024, 15:55 par Foudre
» Une violente tempête sur la Mecque surprend les pèlerins et fait de nombreux dégâts
Ven 12 Jan 2024, 17:52 par Foudre
» La défaite de l'occident ?
Ven 12 Jan 2024, 17:37 par Foudre
» ITW de Xavier Poussard de "Faits et Documents" : Les liens occultes de la Macronie
Ven 12 Jan 2024, 14:43 par Foudre
» Anne Givaudan
Jeu 11 Jan 2024, 16:18 par Nelly1