Cybersécurité : une clé USB malveillante

Les cyberattaques ne sont pas toujours aussi complexes que nous le pensons. Les clés USB, objets simples du quotidien, sont en fait de véritables brèches de sécurité. Zoom sur ce cyber-attaquant de poche.
Avant de commencer, un petit rappel sur ce qu’est une clé USB : il s’agit d’une petite carte mémoire, qui, une fois camouflée par son boîtier en caoutchouc, pourra être branchée sur n'importe quel périphérique (ordinateur, smartphone, etc.) et y réaliser discrètement tous types d’actions, malveillantes ou non.

Que cache cette clé USB ?

En réalité, une clé USB est un injecteur de frappe virtuelle qui peut installer un programme malveillant en seulement 3 secondes. Tous les types d'ordinateurs, qu'ils soient sur Windows, MacOs ou Linux, reconnaîtront ce périphérique comme un clavier ordinaire et laisseront le programme exécuter des frappes de clavier automatique sur l’appareil.

Le problème ? Selon une étude universitaire, 48% des clés USB retrouvées par hasard sont branchées sur une machine afin de lire ce qui s’y trouve. La curiosité pousse à avoir confiance en des objets trouvés sans précaution et pouvant en réalité installer un virus par son insu.

En 2013, un groupe d’attaquants motivés par l’aspect financier et appelé “FIN7” avait distribué des logiciels malveillants à plusieurs entreprises des Etats-Unis. Ces logiciels étaient « cachés » dans des clés USB prétendant contenir des cartes-cadeaux de 50€. Le logiciel était ensuite libre d’exécuter tous types de programmes sur l’ordinateur cible de l’attaque.  

Concrètement, comment fonctionne une telle attaque ?

La première étape pour les cyberattaquants est de connaître l’environnement de leur victime ainsi que son système d’exploitation (Windows, MacOS, Linux). Prenons par exemple un ordinateur sous Windows 10, incluant l’antivirus standard Windows Defender à jour. Ensuite, un acteur malveillant pourra par exemple éparpiller de façon stratégique dans un parking d’entreprise des clés USB compatibles et feront ainsi leurs premières victimes. Un(e) employé(e) tombera sur l’une des clés USB, la ramassera puis la branchera sur son ordinateur professionnel pour savoir à qui elle appartient. L’ordinateur reconnaîtra la clé USB comme un périphérique clavier classique, et le programme intégré se lancera pour dérouler le script malveillant enregistré.  

Comment se protéger ?

Nous avons vu que notre clé USB n’est pas reconnue comme dangereuse par l'antivirus car elle interprète simplement des frappes d’un clavier virtuel. Cependant, il se peut qu’un certain type de charge virale utilisée par l’attaquant soit bloqué par l’antivirus lors de son installation (par l’utilisation de PowerShell par exemple). Dès lors, comment se protéger contre ce type d’attaques ?

1. Sensibilisez pour ne jamais insérer une clé USB dont vous ne connaissez pas l’origine. N’utilisez que des clés USB neuves ou fournies par l’entreprise.
2. Ne laissez pas votre ordinateur déverrouillé sans surveillance.
3. Ne pas être administrateur de son ordinateur et laisser la DSI gérer sa protection.
4. Autoriser uniquement l’exécution de scripts signés. Il est possible de le configurer dans les stratégies AV ou de l’OS.
5. N’autorisez que des périphériques HID basés sur des numéros d’identification connus et fiables, puis bloquez les VID/PID reconnus pour être malveillants.
6. Limitez l’accès physique à vos serveurs et désactivez les ports USB dans le BIOS/UEFI.
7. Activez la journalisation (sysmon) de l’OS pour détection à travers des règles SIEM.
8. Activez l’IDS/IPS qui peut empêcher la communication sur un reverse shell.    

Retrouvez notre offre Cybersécurité et tous nos pôles d'expertises en cliquant ici !