Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les périphériques USB seraient responsables de 25% des infections

Les périphériques USB seraient responsables de 25% des infections
2010-08-312013-02-11sécurité du poste de travailfr
La chasse aux périphériques USB est-elle ouverte ? Selon l'éditeur de solutions de sécurité Panda, près de 25% des codes malicieux intègrent l'USB comme vecteur de propagation. Que faire dans un contexte entreprise ?
Publié le 31 Août 2010 par Jean-François Audenard dans sécurité du poste de travail

Selon PandaLabs, éditeur de solution de sécurité, les clefs et autres périphériques USB seraient responsables de près de 27% des infections en entreprise.

un vecteur d'infection connu des auteurs de ver & virus

Toujours selon PandaLabs, près de 25% des codes malicieux intégreraient les périphériques USB comme vecteur de propagation : dès qu'une clef infectée est insérée dans un ordinateur, celui-ci est automatiquement infecté. Une fois infecté, cet ordinateur va à son tour dupliquer le code malicieux sur toute clef USB qui sera insérée ultérieurement.

une cible de choix

Sans être en mesure de vérifier la pertinence de ces chiffres, les périphériques USB sont effectivement une cible de choix pour véhiculer des codes malicieux :

  • le port USB est devenu l'interface standard pour tout type de périphériques
  • tout le monde possède et utilise quotidiennement des périphériques USB
  • l'utilisation est simple et à la portée de tous
  • le support des périphériques en mode disque est en standard dans tous les systèmes
  • c'est un périphérique qui ne propose aucun mécanisme simple de protection contre l'écriture

quelques attaques "phares"

Les clefs et périphériques USB ont été des vecteurs prédominants d'attaques, quelques morceaux choisis :

les porteurs sains

Un porteur sain est un équipement intégrant un périphérique USB infecté mais ne présentant aucun symptômes d'infection mais qui reste néanmoins un vecteur d'infection.

Comme porteurs sains, on retrouve principalement les cartes SD (ou micro-SD) des appareils photo numériques qui sont gérées comme des périphériques USB. Un appareil photo numérique fonctionnera sans aucun problème avec une carte infectée par un ver. Ce n'est que le jour où la carte sera insérée dans le PC, ou lorsque que l'appareil sera passé en mode "disque USB", que l'infection se propagera.

difficile éradication

L'un des challenges que les périphériques USB posent à tout responsable informatique ou sécurité, c'est qu'ils ne sont connectés que de façon sporadique. Une clef infectée peut rester non-identifiée pendant une longue période de temps et "ressurgir" un peu n'importe quand et n'importe où. La menace est donc "persistante" dans le temps et il conviendra donc de considérer que celle-ci est permanente, c'est-à-dire qu'il ne faudra jamais redescendre sa garde.

Un porteur sain ne présentant aucun symptôme, il sera donc naturellement moins sujet à une vérification (scan antivirus) qu'elle soit "de routine" ou suite à une infection. Franchement, avez-vous déjà scanné les cartes SD que vous utilisez dans vos appareils photos ?

ports USB : interdiction impossible ?

Personnellement, je ne crois pas au stakhanovistes qui vont interdire purement et simplement les périphériques USB : une telle mesure serait contre-productive et ne ferait qu'alimenter les prises de positions tranchées de détracteurs. Je me rappelle de certaines sociétés ayant carrément mis de la colle epoxy dans les ports USB de leurs PC...

D'autres techniques moins "permanentes" s'appuient sur la désactivation des ports USB au niveau du BIOS des machines. Ces méthodes restent clairement insatisfaisantes car elles vont à l'encontre des usages.

mesures concrètes

Ce qu'il faut c'est éduquer et mettre à disposition des dispositifs simples et pratiques pour que les personnes puissent être acteurs responsables. Cela peut passer par la désactivation du lancement automatique des programmes depuis une clef USB ou via l'installation de logiciels spécifiques (cf celui de Panda : Panda USB and AutoRun Vaccine).

Votre programme de sensibilisation à la sécurité pourrait aussi intégrer quelques messages clefs sur les clefs USB : comme vecteur de propagation de codes malicieux mais aussi comme perte de données sensibles. C'est l'opportunité de faire d'une pierre deux coups. Le document "Secure USB flash drives" de l'agence Européenne ENISA peut être utile pour mettre quelque chose en place.

Pourquoi ne pas prévoir une petite vidéo s'appuyant sur USBDumper ? Les personnes ne regarderons plus leur clef USB du même oeil. :-)

les futurs standards seront-ils sécurisés ?

Les nouveaux standards (USB 3.0, Wireless Firewire, ...) feront-ils mieux que l'USB n'a su le faire vis-à-vis des anciennes disquettes ? La question mérite d'être posée : l'expérience de la génération "floppy-disk" n'aura clairement pas été bénéfique aux clefs USB. L'avenir nous le dira.

8 Commentaires

  • 27 Mars 2014
    2014-03-27
    par
    Info-Tech
    Je trouve aussi que c'est plus raisonnable aussi de demander des conseils a des professionnels
  • 8 Décembre 2010
    2014-03-27
    par
    Excellent ! Faut garder ses mains dans les poches et se retenir. :-) On trouve de tout, même dans le domaine bancaire.
    Un bon classique aussi dans les commerces ou les caisses sont des PC... et ont très (trop) souvent leurs ports USB exposés.
    Oui, l'humain est la plus première faille. La banalisation de certaines technologies est aussi dans le peloton de tête.
  • 6 Décembre 2010
    2014-03-27
    par
    Ce qui me fait le plus sourire, c'est quand je vais voir ma banquière, et puis que je vois face à moi l'arrière de son PC, avec à porté de mains ce beau port USB .... et le port réseau .....

    Comme quoi, la première faille, c'est bien l'humain tout simplement ....
  • 17 Octobre 2010
    2014-03-27
    par
    Plug and Pray
    En fait le coupable est à un autre étage que l' USB et le Firewire : c'est le systéme qui permet de charger des modules dans le kernel, présent dans tous les OS avec hotplug et Plug and Play, sous une forme ou sous une autre.

    Il y a d'autres possibilités d'attaques de ce système, il faut donc pouvoir le verrouiller.

    Voire l'enlever lorsqu 'on peut insérer les modules directement dans le kernel.

    C'est aussi une protection contre la désactivation de fonctions de sécurités en modules dans le kernel.

    C'est plus efficace que de s'acharner sur le seul USB ( et Firewire ).
  • 17 Octobre 2010
    2014-03-27
    par
    Unplugged
    Super document de gof.

    Je penserais à le consulter lorsque j'aurais acheté Seven, pour pouvoir utiliser des applis qui m'intéressent et qui n'existent que sous Windows.

    Je rigole parce que les linuxiens se croient bien protégés contre ces attaques par USB et firewire.

    Leur chance est qu 'il y ait plus de virus en .exe, que des binaires pour Linux , mais ça arrivera un de ces jours.

    C'est le problème du Plug and Play ou du hotplug de Linux qui n'est pas plus sécurisé que celui de Windows.

    Il est même bien facile de leur faire charger le driver de périph officiel( pour les enfumer ) et ensuite de le remplacer par un fabuleux rootkit qu'ils auront téléchargé insidieusement sur une page web et qui sommeille dans le PC jusqu'à l'installation du periph.

    En plus , eux n'ont pas d'antivirus et les chasseurs de rootkits sont dépassés.

    J'ai découvert ces lacunes en étudiant la sécurité des BSD.

    Bien sur il y a des possibilités de sécuriser Linux contre les rootkits, mais la plupart des Linux "friendly user" ne sont pas installés correctement pour pouvoir le faire,( souvent il n 'y a qu 'une seule partition ce qui ne le rend pas plus fiable et sûr que windows, mais la langue de bois marche très bien et la méthode Coué également ) et il leur manque beaucoup de choses pour arriver à une protection du niveau de Free ou Open BSD qui n'utilisent pas de hotplug, tout en permettant le fonctionnement des periphs USB supportés.

    C'est évidement plus contraignant, mais le principe offre une protection globale, contre les rootkits et l'installation insidieuse de fichiers pourris..

    Toutefois cet ultime systéme de protection n'est pas activé par défaut sur les BSD, sinon on ne pourrait rien installer , ni configurer. Beaucoup sont utilisés tels quels..

    Il existe un bouquin : comment écrire un rootkit pour BSD, il est préférable de le savoir et d'aller jusqu 'au bout de la sécurisation. Avoir le logo BSD sur le fond d'écran , n'est pas suffisant.

    Devant les problèmes de leur sytème de hotplug, Linux a changé le principe de montage des clés USB : montage par UUID, qui permet de les reconnaitre individuellement,( idem pour les périphs ) mais ça ne résiste pas à une forme de recopie de clés USB et ça ne peut pas être considéré comme une sécurité.

    Hakin9 a publié une technique pour faire un dump mémoire d'un PC dans un iPod, en quelques minutes.

    L'analyse est ensuite très longue, mais cette technique permet de récupérer en mémoire les clés de cryptographie d'une entreprise, la clé étant forcément en mémoire lorsque le programme de cryptage tourne.

    Aussi on comprend que si une entreprise a besoin de cryptographie pour protéger ses données, elle en arrive à mettre de l'araldite dans les ports Firewire et USB.

    Verrouiller dans le Bios même protégé par mdp, c'est insuffisant au niveau sécurité : il suffit d'ouvrir le PC et de réinitialiser le BIOS.

    Dans les BSD cette protection contre le dump mémoire est prévue, car cette technique de piratage est connue et peut être faite par d'autres voies que l' USB.

    L'autre obligation si on doit crypter les données ( pratiquement obligatoire sur les portables à usage professionnel ), est de crypter la partition d'échange ou swap. Trop de tutos sur le cryptage oublient de le mentionner.

    Un autre periph à risque est le lecteur de CD/DVD, qui permet d'insérer un Live CD , et de faire tout ce qu 'on veut sur le disque, en se moquant des verrouillages du systéme sur disque et donc de récupérer mots de passes et autres données de sécurité, et données confidentielles, voire de les modifier à la chaine avec un script.

    Je connais au moins une grosse boite où les PC n'avaient pas de lecteurs de CD. ( un seul en réseau, bien controlé )

    Le systéme et les applis étant installés par clonage de disque durs, les postes de travail étant identiques.

    Une bonne technique pour éradiquer les virus, en recopiant un système sain , gardé au coffre , si les données sont sauvegardées sur un serveur.

    Cependant ils n'avaient pas intégré les attaques par USB, dont on ne parlait pas encore et les clés et disques USB n'étaient pas encore répandus.

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage