Méfiez vous de vos clés USB

Voir le sujet précédent Voir le sujet suivant Aller en bas

Méfiez vous de vos clés USB

Message par Mélusine le Mar 5 Aoû - 14:57


par Tangui Bertin sur FlickR licence cc by sa

Et, de façon générale, de toute sorte d'appareils de stockage portatifs: disquettes, lecteurs MP3... mais surtout clés USB, préviennent deux chercheurs en sécurité informatique.

Elles ont l'air inoffensives, comme ça, quand elles se glissent dans nos poches et nos ordinateurs, en empruntant toute sorte de formes, de tailles et de couleurs. Sauf qu'il n'en est rien: deux chercheurs de sécurité informatique, Karsten Nohl and Jakob Lell, affirment avoir la preuve que les clés USB sont intrinsèquement mauvaises. Et presque bonnes à jeter.

En disséquant pendant plusieurs mois le fonctionnement de ces petits appareils de stockage, ce duo d'experts a en effet découvert qu'il était possible de programmer un logiciel dit «malveillant», ou «malware», dans le code de fonctionnement des clés USB. Celui-là même qui permet l'échange de fichiers entre la clé USB et un ordinateur.

Et pour en apporter la preuve, Karsten Nohl and Jakob Lell ont carrément créé eux-mêmes ce genre de programme, explique Wired, qu'ils ont très judicieusement intitulé «bad usb». Programme qu'ils comptent présenter à l'occasion de la célèbre conférence de sécurité informatique américaine, BlackHat, qui se tient du 2 au 7 août.

Vilaine, vilaine clé USB donc, d'autant plus redoutable que rien, ou presque, ne peut parer à cette exploitation malveillante du code qui les fait tourner, comme l'explique Karsten Nohl, toujours dans Wired:

   «Vous pouvez la donner à des spécialistes de la sécurité informatique; ils la scanneront, supprimeront quelques fichiers, et vous la rendront en vous disant qu'elle est "propre".»

Ni le formatage, ni vos antivirus n'auraient la capacité de détecter ce logiciel malveillant qui a la possibilité, résume encore Karsten Nohl, «de faire tout ce que vous pouvez faire avec un clavier». Soit en gros prendre le contrôle de l'ordinateur. Le site spécialisé évoque par exemple l'espionnage des communications, ou la modification de fichiers.

Si les deux experts envisagent une première solution, qui consisterait à faire en sorte que les clés USB n'acceptent sur le logiciel qui les fait touner (ou firmware) que les mises à jour autorisées par les fabricants, ils précisent néanmoins que cette option peut être facilement déjouée.

Seule solution, ou presque: condamner vos ports USB avec de la superglu.

Si le scénario semble un peu extrême, sachez qu'il est vivement recommandé –si ce n'est pratiqué– dans des entreprises et organisations sensibles, où l'information qui y circule se transforme vite en secret à ne surtout pas divulguer.


La version sushi n'est pas moins inoffensive | FlickR licence cc by

A vrai dire, les spécialistes de l'informatique se méfient depuis toujours de tous les supports de stockage mobiles... disquettes comprises, comme le rappelle ici Luc Vallée, de l'Anssi (Agence nationale de la sécurité des systèmes d'information)!

Car qui dit mobile, dit possibilité d'intrusions extérieures: avec une clé USB (ou autre), il est possible de voler des données ou installer des fichiers sur un ordinateur, le tout évidemment à l'insu de son propriétaire.

De nombreuses recommandations officielles, émanant par exemple des organismes responsable de la sécurité des réseaux en France, évoquent ce problème.

Ainsi, cette note de 2006, mise à jour en 2009, du Certa (pour Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques, qui dépend de l'Anssi), préconise explicitement de se méfier de ce genre de demande:

   «Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB?... Les batteries sont déchargées, et je ne rentre que demain chez moi. Merci beaucoup!»

Et pour rappel, Stuxnet, l'un des plus célèbres virus de l'Histoire, s'est également appuyé sur une clé USB. A priori développé par les services de renseignements américains, ce virus a réussi à pénétrer la zone ultra-sécurisée d'une usine nucléaire en Iran très probablement grâce au manque de vigilance d'un employé du site. Ou, comme le résumait à l'époque de manière moins sympathique un instigateur du projet dans le New York Times:

   «Il y a toujours un idiot qui ne prête pas attention à l’USB qu’il tient au creux de la main.»

source
avatar
Mélusine

Messages : 5165
Date d'inscription : 17/03/2013

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Méfiez vous de vos clés USB

Message par GooZ le Mar 5 Aoû - 15:19

Moui, bon.. c'est pas faux. Mais pas si vrai que ça, probablement. Il m'est arrivé une ou deux fois de travailler chez un client "sensible" qui a préféré me donner une clef USB neuve à lui plutôt que me laisser utiliser la mienne sur son PC. Mais si on tourne à la parano, qu'est ce m'oblige à croire que SA clé USB est nickel ? Du coup plus personne ne croit plus personne et on finit par se méfier de tout le monde.
Niveau espionnage je ne dis pas, c'est évident que le sujet est sensible. Mais la petite clef que la ménagère achète chez Carrefour pour stocker des recettes de cuisine, faut pas pousser...
A mon avis il y a beaucoup plus à craindre des puces RFID et cie...
avatar
GooZ
Admin

Messages : 3830
Date d'inscription : 17/03/2013
Age : 55
Localisation : Dans la joie et le positif

Voir le profil de l'utilisateur http://www.goozweb.com/attraction/attraction.html

Revenir en haut Aller en bas

Re: Méfiez vous de vos clés USB

Message par Mélusine le Mar 5 Aoû - 15:27

Je suis tout à fait de ton avis, mais notamment chez mes enfants et petits-enfants, par exemple, qui sont tous ou presque, des informaticiens de haut niveau, je pense que cela pourrait avoir une incidence, la compagne de l'aîné, diplômée de physique nucléaire et en poste dit "sensible" pourrait être concernée...
donc il est bon que, sans être parano pour autant, l'information soit divulguée après chacun voit midi à son clocher.

Quant aux puces alors là.... Rolling Eyes   Evil or Very Mad 
avatar
Mélusine

Messages : 5165
Date d'inscription : 17/03/2013

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Méfiez vous de vos clés USB

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum