Selon PandaLabs, éditeur de solution de sécurité, les clefs et autres périphériques USB seraient responsables de près de 27% des infections en entreprise.
Un vecteur d'infection connu des auteurs de ver & virus
Toujours selon PandaLabs, près de 25% des codes malicieux intégreraient les périphériques USB comme vecteur de propagation : Dès qu'une clef infectée est insérée dans un ordinateur, celui-ci est automatiquement infecté. Un fois infecté, cet ordinateur va à son tour dupliquer le code malicieux sur toute clef USB qui sera insérée ultérieurement.
Une cible de choix
Sans être en mesure de vérifier la pertinence de ces chiffres, les périphériques USB sont effectivement une cible de choix pour véhiculer des codes malicieux :
Un vecteur d'infection connu des auteurs de ver & virus
Toujours selon PandaLabs, près de 25% des codes malicieux intégreraient les périphériques USB comme vecteur de propagation : Dès qu'une clef infectée est insérée dans un ordinateur, celui-ci est automatiquement infecté. Un fois infecté, cet ordinateur va à son tour dupliquer le code malicieux sur toute clef USB qui sera insérée ultérieurement.
Une cible de choix
Sans être en mesure de vérifier la pertinence de ces chiffres, les périphériques USB sont effectivement une cible de choix pour véhiculer des codes malicieux :
- Le port USB est devenu l'interface standard pour tout type de périphériques
- Tout le monde possède et utilise quotidiennement des périphériques USB
- L'utilisation est simple et à la portée de tous
- Le support des périphériques en mode disque est en standard dans tous les systèmes
- C'est un périphérique qui ne propose aucun mécanisme simple de protection contre l'écriture.
Quelques attaques "phares"
Les clefs et périphériques USB ont été des vecteurs prédominants d'attaques, quelques morceaux choisis :
Conficker
2008 : Attaque d'un réseau de l'armée des Etats-Unis ("NewYorkTimes, Military Computer Attack Confirmed, August 25, 2010")
2009 : Le ver informatique Conficker ("01Net, 5 moyens pour éviter le ver Conficker et 5 erreurs à ne pas commettre")
2010 : Un code malicieux vise les systèmes de contrôle industriel ("OBS Blog Sécurité, Un système de contrôle industriel ciblé par un code malicieux, 16 Juillet 2010")
Les porteurs sains
Un porteur sain est équipement intégrant un périphérique USB infecté mais ne présentant aucun symptomes d'infection mais qui reste néanmoins un vecteur d'infection.
Comme porteurs sains, on retrouve principalement les cartes SD (ou micro-SD) des appareils photo numériques qui sont gérées comme des périphériques USB. Un appareil photo numérique fonctionnera sans aucun problème avec une carte infectée par un ver. Ce n'est que le jour ou la carte sera insérée dans le PC ; ou lorsque que l'appareil sera passé en mode "disque USB" ; que l'infection se propagera.
Difficile éradication
L'un des challenges que les périphériques USB posent à tout responsable informatique ou sécurité c'est qu'ils ne sont connectés que de façon sporadique. Une clef infectée peut rester non-identifiée pendant une longue période de temps et "ressurgir" un peu n'importe quand et n'importe ou. La menace est donc "persistante" dans le temps et il conviendra donc de considérer que celle-ci est permanente, cad qu'il ne faudra jamais redescendre sa garde.
Un porteur sain ne présentant aucun symptôme, il sera donc naturellement moins sujet à une vérification (scan antivirus) qu'elle soit "de routine" ou suite à une infection. Franchement, avez-vous déjà scanné les cartes SD que vous utilisez dans vos appareils photos ?
Ports USB : Interdiction impossible ?
Personnellement, je ne crois pas au stakhanovistes qui vont interdire purement et simplement les périphériques USB : Une telle mesure serait contre-productive est ne ferait qu'alimenter les prises de positions tranchées de détracteurs. Je me rappelle de certaines sociétés ayant carrément mis de la colle epoxy dans les ports USB de leurs PC... D'autres techniques moins "permanentes" s'appuient sur la désactivation des ports USB au niveau du BIOS des machines. Ces méthodes restent clairement insatisfaisantes car elles vont à l'encontre des usages.
Mesures concrètes
Ce qu'il faut c'est éduquer et mettre à disposition des dispositifs simples et pratiques pour que les personnes puissent être acteurs responsables. Cela peut passer par la désactivation du lancement automatique des programmes depuis une clef USB ou via l'installation de logiciels spécifiques (cf celui de Panda : Panda USB and AutoRun Vaccine).
Votre programme de sensibilisation à la sécurité pourrait aussi intégrer quelques messages clefs sur les clefs USB : Comme vecteur de propagation de codes malicieux mais aussi comme perte de données sensibles. C'est l'opportunité de faire d'une pierre deux coups. Le document "Secure USB flash drives" de l'agence Européenne ENISA peut être utile pour mettre quelque chose en place.
Pourquoi ne pas prévoir une petite vidéo s'appuyant sur USBDumper ? Les personnes ne regarderons plus leur clef USB du même oeil. :-)
Les futurs standards seront-ils sécurisés ?
Les nouveaux standards (USB 3.0, Wireless Firewire, ...) feront-ils mieux que l'USB n'a su le faire vis-à-vis des anciennes disquettes ? La question mérite d'être posée : l'expérience de la génération "floppy-disk" n'aura clairement pas été bénéfique aux clefs USB. L'avenir nous le dira.
Les clefs et périphériques USB ont été des vecteurs prédominants d'attaques, quelques morceaux choisis :
Conficker
2008 : Attaque d'un réseau de l'armée des Etats-Unis ("NewYorkTimes, Military Computer Attack Confirmed, August 25, 2010")
2009 : Le ver informatique Conficker ("01Net, 5 moyens pour éviter le ver Conficker et 5 erreurs à ne pas commettre")
2010 : Un code malicieux vise les systèmes de contrôle industriel ("OBS Blog Sécurité, Un système de contrôle industriel ciblé par un code malicieux, 16 Juillet 2010")
Les porteurs sains
Un porteur sain est équipement intégrant un périphérique USB infecté mais ne présentant aucun symptomes d'infection mais qui reste néanmoins un vecteur d'infection.
Comme porteurs sains, on retrouve principalement les cartes SD (ou micro-SD) des appareils photo numériques qui sont gérées comme des périphériques USB. Un appareil photo numérique fonctionnera sans aucun problème avec une carte infectée par un ver. Ce n'est que le jour ou la carte sera insérée dans le PC ; ou lorsque que l'appareil sera passé en mode "disque USB" ; que l'infection se propagera.
Difficile éradication
L'un des challenges que les périphériques USB posent à tout responsable informatique ou sécurité c'est qu'ils ne sont connectés que de façon sporadique. Une clef infectée peut rester non-identifiée pendant une longue période de temps et "ressurgir" un peu n'importe quand et n'importe ou. La menace est donc "persistante" dans le temps et il conviendra donc de considérer que celle-ci est permanente, cad qu'il ne faudra jamais redescendre sa garde.
Un porteur sain ne présentant aucun symptôme, il sera donc naturellement moins sujet à une vérification (scan antivirus) qu'elle soit "de routine" ou suite à une infection. Franchement, avez-vous déjà scanné les cartes SD que vous utilisez dans vos appareils photos ?
Ports USB : Interdiction impossible ?
Personnellement, je ne crois pas au stakhanovistes qui vont interdire purement et simplement les périphériques USB : Une telle mesure serait contre-productive est ne ferait qu'alimenter les prises de positions tranchées de détracteurs. Je me rappelle de certaines sociétés ayant carrément mis de la colle epoxy dans les ports USB de leurs PC... D'autres techniques moins "permanentes" s'appuient sur la désactivation des ports USB au niveau du BIOS des machines. Ces méthodes restent clairement insatisfaisantes car elles vont à l'encontre des usages.
Mesures concrètes
Ce qu'il faut c'est éduquer et mettre à disposition des dispositifs simples et pratiques pour que les personnes puissent être acteurs responsables. Cela peut passer par la désactivation du lancement automatique des programmes depuis une clef USB ou via l'installation de logiciels spécifiques (cf celui de Panda : Panda USB and AutoRun Vaccine).
Votre programme de sensibilisation à la sécurité pourrait aussi intégrer quelques messages clefs sur les clefs USB : Comme vecteur de propagation de codes malicieux mais aussi comme perte de données sensibles. C'est l'opportunité de faire d'une pierre deux coups. Le document "Secure USB flash drives" de l'agence Européenne ENISA peut être utile pour mettre quelque chose en place.
Pourquoi ne pas prévoir une petite vidéo s'appuyant sur USBDumper ? Les personnes ne regarderons plus leur clef USB du même oeil. :-)
Les futurs standards seront-ils sécurisés ?
Les nouveaux standards (USB 3.0, Wireless Firewire, ...) feront-ils mieux que l'USB n'a su le faire vis-à-vis des anciennes disquettes ? La question mérite d'être posée : l'expérience de la génération "floppy-disk" n'aura clairement pas été bénéfique aux clefs USB. L'avenir nous le dira.
Bonjour,
Puis-je me permettre d'évoquer un document réalisé sur ce type de menaces et les moyens de s'en prémunir (distribué en copyleft) ?
Rédigé en autodidacte, sans -j'imagine- la rigueur de professionnels. Le document est au format PDF, et porte pour titre "Guide de sécurisation des windows face aux menaces des périphériques amovibles". Il est téléchargeable sur le lien associé au pseudo.
Super document que celui-ci. Des informations détaillées et clairement expliquées sur le sujet. Une mine d'informations à recommander à nos lecteurs.
Encore merci et très bonne journée;
JF.
Bonjour,
je pense qu'il faut indiquer à vos lecteurs que les logiciels anti-virus intelligents sont dorénavant capables de lancer un scan dès la connexion de clés usb ou autres dispositifs.
Entièrement d'accord avec la fin de votre article : Tout est dans la prévention et la sensibilisation des utilisateurs. S'ils sont au courant des risques, ils seront plus méfiants et sauront comment agir.
Super document de gof.
Je penserais à le consulter lorsque j'aurais acheté Seven, pour pouvoir utiliser des applis qui m'intéressent et qui n'existent que sous Windows.
Je rigole parce que les linuxiens se croient bien protégés contre ces attaques par USB et firewire.
Leur chance est qu 'il y ait plus de virus en .exe, que des binaires pour Linux , mais ça arrivera un de ces jours.
C'est le problème du Plug and Play ou du hotplug de Linux qui n'est pas plus sécurisé que celui de Windows.
Il est même bien facile de leur faire charger le driver de périph officiel( pour les enfumer ) et ensuite de le remplacer par un fabuleux rootkit qu'ils auront téléchargé insidieusement sur une page web et qui sommeille dans le PC jusqu'à l'installation du periph.
En plus , eux n'ont pas d'antivirus et les chasseurs de rootkits sont dépassés.
J'ai découvert ces lacunes en étudiant la sécurité des BSD.
Bien sur il y a des possibilités de sécuriser Linux contre les rootkits, mais la plupart des Linux "friendly user" ne sont pas installés correctement pour pouvoir le faire,( souvent il n 'y a qu 'une seule partition ce qui ne le rend pas plus fiable et sûr que windows, mais la langue de bois marche très bien et la méthode Coué également ) et il leur manque beaucoup de choses pour arriver à une protection du niveau de Free ou Open BSD qui n'utilisent pas de hotplug, tout en permettant le fonctionnement des periphs USB supportés.
C'est évidement plus contraignant, mais le principe offre une protection globale, contre les rootkits et l'installation insidieuse de fichiers pourris..
Toutefois cet ultime systéme de protection n'est pas activé par défaut sur les BSD, sinon on ne pourrait rien installer , ni configurer. Beaucoup sont utilisés tels quels..
Il existe un bouquin : comment écrire un rootkit pour BSD, il est préférable de le savoir et d'aller jusqu 'au bout de la sécurisation. Avoir le logo BSD sur le fond d'écran , n'est pas suffisant.
Devant les problèmes de leur sytème de hotplug, Linux a changé le principe de montage des clés USB : montage par UUID, qui permet de les reconnaitre individuellement,( idem pour les périphs ) mais ça ne résiste pas à une forme de recopie de clés USB et ça ne peut pas être considéré comme une sécurité.
Hakin9 a publié une technique pour faire un dump mémoire d'un PC dans un iPod, en quelques minutes.
L'analyse est ensuite très longue, mais cette technique permet de récupérer en mémoire les clés de cryptographie d'une entreprise, la clé étant forcément en mémoire lorsque le programme de cryptage tourne.
Aussi on comprend que si une entreprise a besoin de cryptographie pour protéger ses données, elle en arrive à mettre de l'araldite dans les ports Firewire et USB.
Verrouiller dans le Bios même protégé par mdp, c'est insuffisant au niveau sécurité : il suffit d'ouvrir le PC et de réinitialiser le BIOS.
Dans les BSD cette protection contre le dump mémoire est prévue, car cette technique de piratage est connue et peut être faite par d'autres voies que l' USB.
L'autre obligation si on doit crypter les données ( pratiquement obligatoire sur les portables à usage professionnel ), est de crypter la partition d'échange ou swap. Trop de tutos sur le cryptage oublient de le mentionner.
Un autre periph à risque est le lecteur de CD/DVD, qui permet d'insérer un Live CD , et de faire tout ce qu 'on veut sur le disque, en se moquant des verrouillages du systéme sur disque et donc de récupérer mots de passes et autres données de sécurité, et données confidentielles, voire de les modifier à la chaine avec un script.
Je connais au moins une grosse boite où les PC n'avaient pas de lecteurs de CD. ( un seul en réseau, bien controlé )
Le systéme et les applis étant installés par clonage de disque durs, les postes de travail étant identiques.
Une bonne technique pour éradiquer les virus, en recopiant un système sain , gardé au coffre , si les données sont sauvegardées sur un serveur.
Cependant ils n'avaient pas intégré les attaques par USB, dont on ne parlait pas encore et les clés et disques USB n'étaient pas encore répandus.
En fait le coupable est à un autre étage que l' USB et le Firewire : c'est le systéme qui permet de charger des modules dans le kernel, présent dans tous les OS avec hotplug et Plug and Play, sous une forme ou sous une autre.
Il y a d'autres possibilités d'attaques de ce système, il faut donc pouvoir le verrouiller.
Voire l'enlever lorsqu 'on peut insérer les modules directement dans le kernel.
C'est aussi une protection contre la désactivation de fonctions de sécurités en modules dans le kernel.
C'est plus efficace que de s'acharner sur le seul USB ( et Firewire ).
Ce qui me fait le plus sourire, c'est quand je vais voir ma banquière, et puis que je vois face à moi l'arrière de son PC, avec à porté de mains ce beau port USB .... et le port réseau .....
Comme quoi, la première faille, c'est bien l'humain tout simplement ....
Excellent ! Faut garder ses mains dans les poches et se retenir. :-) On trouve de tout, même dans le domaine bancaire.
Un bon classique aussi dans les commerces ou les caisses sont des PC... et ont très (trop) souvent leurs ports USB exposés.
Oui, l'humain est la plus première faille. La banalisation de certaines technologies est aussi dans le peloton de tête.