Selon PandaLabs, éditeur de solution de sécurité, les clefs et autres périphériques USB seraient responsables de près de 27% des infections en entreprise.
un vecteur d'infection connu des auteurs de ver & virus
Toujours selon PandaLabs, près de 25% des codes malicieux intégreraient les périphériques USB comme vecteur de propagation : dès qu'une clef infectée est insérée dans un ordinateur, celui-ci est automatiquement infecté. Une fois infecté, cet ordinateur va à son tour dupliquer le code malicieux sur toute clef USB qui sera insérée ultérieurement.
une cible de choix
Sans être en mesure de vérifier la pertinence de ces chiffres, les périphériques USB sont effectivement une cible de choix pour véhiculer des codes malicieux :
- le port USB est devenu l'interface standard pour tout type de périphériques
- tout le monde possède et utilise quotidiennement des périphériques USB
- l'utilisation est simple et à la portée de tous
- le support des périphériques en mode disque est en standard dans tous les systèmes
- c'est un périphérique qui ne propose aucun mécanisme simple de protection contre l'écriture
quelques attaques "phares"
Les clefs et périphériques USB ont été des vecteurs prédominants d'attaques, quelques morceaux choisis :
- 2008 : attaque d'un réseau de l'armée des Etats-Unis ("NewYorkTimes, Military Computer Attack Confirmed, August 25, 2010")
- 2009 : le ver informatique Conficker ("01Net, 5 moyens pour éviter le ver Conficker et 5 erreurs à ne pas commettre")
- 2010 : un code malicieux vise les systèmes de contrôle industriel ("Blog Sécurité, Un système de contrôle industriel ciblé par un code malicieux, 16 Juillet 2010")
les porteurs sains
Un porteur sain est un équipement intégrant un périphérique USB infecté mais ne présentant aucun symptômes d'infection mais qui reste néanmoins un vecteur d'infection.
Comme porteurs sains, on retrouve principalement les cartes SD (ou micro-SD) des appareils photo numériques qui sont gérées comme des périphériques USB. Un appareil photo numérique fonctionnera sans aucun problème avec une carte infectée par un ver. Ce n'est que le jour où la carte sera insérée dans le PC, ou lorsque que l'appareil sera passé en mode "disque USB", que l'infection se propagera.
difficile éradication
L'un des challenges que les périphériques USB posent à tout responsable informatique ou sécurité, c'est qu'ils ne sont connectés que de façon sporadique. Une clef infectée peut rester non-identifiée pendant une longue période de temps et "ressurgir" un peu n'importe quand et n'importe où. La menace est donc "persistante" dans le temps et il conviendra donc de considérer que celle-ci est permanente, c'est-à-dire qu'il ne faudra jamais redescendre sa garde.
Un porteur sain ne présentant aucun symptôme, il sera donc naturellement moins sujet à une vérification (scan antivirus) qu'elle soit "de routine" ou suite à une infection. Franchement, avez-vous déjà scanné les cartes SD que vous utilisez dans vos appareils photos ?
ports USB : interdiction impossible ?
Personnellement, je ne crois pas au stakhanovistes qui vont interdire purement et simplement les périphériques USB : une telle mesure serait contre-productive et ne ferait qu'alimenter les prises de positions tranchées de détracteurs. Je me rappelle de certaines sociétés ayant carrément mis de la colle epoxy dans les ports USB de leurs PC...
D'autres techniques moins "permanentes" s'appuient sur la désactivation des ports USB au niveau du BIOS des machines. Ces méthodes restent clairement insatisfaisantes car elles vont à l'encontre des usages.
mesures concrètes
Ce qu'il faut c'est éduquer et mettre à disposition des dispositifs simples et pratiques pour que les personnes puissent être acteurs responsables. Cela peut passer par la désactivation du lancement automatique des programmes depuis une clef USB ou via l'installation de logiciels spécifiques (cf celui de Panda : Panda USB and AutoRun Vaccine).
Votre programme de sensibilisation à la sécurité pourrait aussi intégrer quelques messages clefs sur les clefs USB : comme vecteur de propagation de codes malicieux mais aussi comme perte de données sensibles. C'est l'opportunité de faire d'une pierre deux coups. Le document "Secure USB flash drives" de l'agence Européenne ENISA peut être utile pour mettre quelque chose en place.
Pourquoi ne pas prévoir une petite vidéo s'appuyant sur USBDumper ? Les personnes ne regarderons plus leur clef USB du même oeil. :-)
les futurs standards seront-ils sécurisés ?
Les nouveaux standards (USB 3.0, Wireless Firewire, ...) feront-ils mieux que l'USB n'a su le faire vis-à-vis des anciennes disquettes ? La question mérite d'être posée : l'expérience de la génération "floppy-disk" n'aura clairement pas été bénéfique aux clefs USB. L'avenir nous le dira.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens