Découvrez l’attaque par clé USB : l’USB Drop

Thomas Le Coz

Thomas Le Coz

Social Engineering

Une attaque par clé USB, aussi connue sous le nom d'USB Drop, est un danger encore sous-estimé. Les clés USB sont très efficaces pour nous aider à stocker et transporter de faibles quantités de données. Nous en utilisons régulièrement et nombreux sont ceux qui n'imaginent pas le manque de sécurité de ces petits appareils. En effet, ces espaces de stockages représentent un vecteur de cyberattaques extrêmement efficace.

C’est pourquoi nous allons vous présenter les différentes attaques par clé USB, leurs conséquences et comment s’en protéger.

Quels sont les différents types d'attaques par clé USB ?

Il existe 3 grands types d'attaque par clé USB.

Chaque type d'attaque par clé USB ne peut fonctionner que si la victime connecte la clé à son ordinateur. Il y a donc une partie de l’attaque qui consiste quoiqu'il arrive à inciter la victime à connecter la clé.

Le facteur humain est donc primordial dans la réalisation d’une attaque par USB drop.

1 Utiliser le social engineering pour faire exécuter un fichier malveillant

Le social engineering (ou ingénierie sociale en français) vise à manipuler la victime. L'objectif est de la faire cliquer sur des fichiers malveillants présents sur la clé.

Par exemple, la clé pourra comporter des fichiers nommés TopSecret.html ou encore _CodesAcces.xls_x. Ces noms attisent la curiosité et augmentent les chances que la cible ouvrent les fichiers pour découvrir ce qui s'y cache.

Ces fichiers visent à compromettre la sécurité de la victime, soit en exécutant un malware, soit en redirigeant la cible vers une page web.

L’exécution d'un malware est souvent le moyen le plus simple de compromettre la cible. Cependant, l’antivirus de la victime peut se déclencher et compromettre l'attaque.

Rediriger la victime vers un site de phishing est une manière moins immédiate mais potentiellement plus discrète de la pirater.

2 Le HID spoofing : faire passer la clé pour un clavier USB

Le Human Input Device (HID) spoofing est une technique visant à tromper l’ordinateur de la victime. Ce dernier va reconnaître la clé USB comme un clavier. La clé envoie alors une série de commandes comme si quelqu'un utilisait ce clavier pour compromettre l’ordinateur cible.

Clé USB

La clé Rubber Ducky, célèbre outil de HID

Cela revient à brancher un clavier et entrer une série de raccourcis et commandes, exécutant une série d’opérations malveillantes.

3 Exploitation d’une vulnérabilité du pilote USB : driver zero-day

Enfin, le driver zero-day est une attaque qui cible un logiciel en particulier. La clé USB possède un code qui exploite les vulnérabilités de l’ordinateur victime afin d'effectuer des opérations non-conformes.

Le driver zero-day exploite une faille non corrigée du pilote USB : le programme destiné à permettre la bonne utilisation de la clé USB par l’ordinateur. Le programme malveillant exploite le driver pour corrompre la victime au moment où l'on branche la clé.

La clé exploite la faille du driver USB dès son insertion pour y injecter un code malveillant, entraînant le piratage de l’ordinateur hôte et potentiellement de son réseau.

Est-ce que les attaques par clé USB fonctionnent ?

En 2016, des chercheurs ont réalisé un test d'USB drop : ils ont déposé 300 clés USB sur le campus de l’université de l'Illinois à Urbana-Champaign. Ils ont ensuite récolté des données sur le nombre de clés USB branchées à un ordinateur. Par la suite, ils ont interrogé les étudiants qui ont expliqué les raisons de leurs actions.

  • 20% des clés USB ont été connectées au bout d’une heure et 25% supplémentaires dans les 6 heures suivantes.
  • Les personnes ayant branché les clés USB ont ouvert et exécuté les fichiers de la clé dans 48% des cas.

Taux de clé branchées Étude 2016

Pourquoi fonctionnent-elles ?

Dans l’étude, 68% des interviewés ont indiqué avoir branché la clé USB avec un but altruiste. L'objectif était de découvrir à qui appartenait la clé pour la rendre à son propriétaire.

À 18%, la curiosité est la deuxième raison la plus évoquée.

Remarque intéressante, la victime avait plus de chance d’ouvrir les différents fichiers si des clés physiques — clés d'habitation — étaient présentes. Cela donnait en effet l'impression d'un réel oubli plus que d'un piège tendu.

45% des clés USB ont été branchées malgré les risques : il y a donc un réel manque de compréhension des risques et des possibilités d’attaques par clé USB.

Raisons de brancher la clé Étude 2016

Si vous n'aviez pas lu cet article et que demain matin, vous trouviez une clé USB sur votre bureau avec votre prénom écrit dessus, que feriez-vous ?

Quelles sont les conséquences possibles d’une attaque par clé USB ?

Une attaque USB drop qui réussit amène à la compromission totale de l’ordinateur victime. En fonction du contexte et de l'environnement dans lequel évolue cet ordinateur (droits, niveau de sécurité du réseau, etc.), les conséquences peuvent être terribles.

Extraction d’informations sensibles

Le pirate peut extraire des informations sensibles de l'ordinateur en ciblant automatiquement certains répertoires ou type de fichiers. Il lui est facile d'accéder à des mots de passe, des informations personnelles ou des coordonnées bancaires.

Accès à distance

Le hacker peut exploiter l'ordinateur infecté ainsi que le réseau et les équipements présents dessus : webcam, microphone, clavier, etc.

En effet, l’attaque USB permet d'installer un RAT (Remote Access Tool) et autres malwares permettant la prise de contrôle de l'équipement ciblé.

Destruction de matériel

Il existe aussi des clés USB appelées “USB Killers” qui permettent de détruire instantanément le matériel dans lesquelles elles sont branchées.

USB Killer

Ces clés emmagasinent temporairement l’énergie fournie par le port USB. Elles envoient ensuite une décharge électrique d'une tension bien supérieure (de 100 à 200 V) par le circuit utilisé habituellement pour transférer de la donnée.

Parfois l'USB killer ne détruit que le port USB mais généralement, la surcharge grille la carte mère de l’ordinateur. Le plus souvent, cette attaque détruit le matériel dans lequel la clé est branchée.

Quelques exemples d’attaques par clé USB

En 2008, une attaque par USB Drop a permis d'infecter un ordinateur militaire américain, pour ensuite infiltrer toute la base militaire. Le programme hostile s'est propagé sans être détecté, puis a transféré des données confidentielles sur des serveurs étrangers.

Autre exemple : en 2009, Stuxnet, un ver informatique a infecté via une clé USB des sites industriels nucléaires en Iran. C’est la première cyberattaque sur des infrastructures nucléaires.

Les États-Unis et Israël auraient développé Stuxnet à partir de 2005. Ceux-ci craignaient le développement de la bombe nucléaire en Iran et ont donc développé un virus pour ralentir le programme de recherche Iranien.

Les sites étaient isolés physiquement de tout réseau informatique (air gapped). Il fallait donc recourir à d'autres vecteurs d'attaques afin d'infecter les systèmes ciblés.

Les auteurs de l'attaque ont donc décidé de d'abord s'attaquer aux fournisseurs et aux prestataires des centrales — il s'agit d'une supply chain attaque.

Ils ont ensuite attendu qu'un individu insère une clé USB contenant le virus à l'intérieur du site.

Stuxnet a ainsi pu cibler les PLCs — contrôleurs logiques programmables — contrôlant les centrifugeuses nécessaires pour la séparation des matériaux nucléaires, les faisant accélérer jusqu'à leur destruction.

Plus d'un millier de centrifugeuses ont été détruites, ralentissant ainsi le développement de l'arme nucléaire en Iran.

8 conseils pour se protéger

Heureusement, il existe plusieurs manières qui permettent de se protéger contre les attaques par clé USB, en voici 8 :

  1. Faire de la prévention dans votre entreprise est essentiel ! Vos collaborateurs doivent être conscients du danger que posent des clés USB non identifiées et des conséquences possibles.
  2. Utiliser une station blanche comme celles que propose Hogo, faisant office de périphérique tampon pour brancher une clé USB inconnue.
  3. Équipez-vous d’un logiciel antivirus performant permettant d’analyser vos clés USB. Si ce n'est pas le cas par défaut, activez ensuite le scan systématique des périphériques USB pour détecter la présence de malwares connus.
  4. Si vous identifiez une clé USB comme suspecte une fois que vous la connectez, alors déconnectez l’ordinateur infecté de votre réseau. Contactez ensuite le service informatique sans redémarrer votre ordinateur afin d'analyser la menace et le contenu de la clé.
  5. Bien que rarement actives, les fonctionnalités d’exécution automatique (autorun) représentent un réel danger lors de l'insertion de supports amovibles. Si elles sont actives, elles doivent être désactivées. Sans votre autorisation, les périphériques amovibles comme les clés USB ne pourront pas exécuter de programme automatiquement. En revanche cela ne protège vous protège pas des attaques par HID.
  6. Vous utilisez des chargeurs USB ? Il existe des câbles ou des chargeurs qui peuvent être malveillants : il s'agit de juice jacking. Vous pouvez mettre en place des câbles “power only” qui ne possèdent pas de circuit dédié à la donnée et ne pourront que charger vos périphériques. Ils n’auront pas la capacité de transférer des données et ne pourront infecter vos périphériques
  7. Désactiver les ports USB des baies de serveurs ou des ordinateurs à utilisation spécifique qui ne nécessitent pas de périphériques USB.
  8. Entraîner vos collaborateurs aux différentes attaques qui les ciblent (USB, phishing, smishing, vishing, etc.) afin de renforcer la sécurité numérique de votre entreprise.

N’oubliez pas que l’humain est le premier rempart pour empêcher une attaque par clé USB, sa participation est nécessaire à la réalisation de l’attaque : la clé ne va pas se brancher toute seule!

En entraînant vos collaborateurs, il est possible de les transformer en véritable firewall humain, signalant les attaques qu’ils détectent, permettant ainsi de remonter les menaces au service sécurité de votre entreprise.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.