La clé USB, ce parfait criminel !
La clé USB est-elle en train de devenir l’outil de prédilection des pirates informatiques ?
Accessible, offerte ou prêtée, la clé USB est devenu un petit dispositif de stockage du quotidien. Elle existe sous différentes formes et différentes capacités de stockage. En “goodies” personnalisable, elle peut même devenir un objet de communication. Légère, portable et mobile, celle-ci tient même dans la poche ! Utilisée pour stocker et transporter les données (documents, photos, etc), la clé USB n’en demeure pas moins fragile et facile à perdre. De plus, son usage étant massivement répandu, elle fait partie des “gadgets” privilégiés des hackers pour piéger les individus et organisations.
Les études montrent qu’une infection sur trois a pour origine des supports USB (clés, câbles…) et que une clé sur deux contiendrait au moins un dossier présentant des risques”.
Dans le milieu professionnel, 90% d’employés utilisent des clés USB et 80% des collaborateurs utilisent des clés non chiffrées.
Parmi ces salariés, 87% des personnes interrogées reconnaissent ne pas avoir révélé la perte d’une clé USB utilisée dans le cadre professionnel. Pire encore, de nombreux collaborateurs négligents continuent de connecter des clés USB provenant de l’extérieur sur leurs ordinateurs professionnels.
Ajoutez à cela la multitude d’endroits peu ou pas sécurisés où des clés USB “traînent” et sont, de ce fait, facilement accessibles (tiroirs de bureaux, bureaux, banettes de rangement…) et vous commencez à disposer d’une arme de diffusion massive.
S’appuyant sur ces mauvaises habitudes, les pirates informatiques détournent cette banalisation de la clé USB à leur avantage. Ils ont inventés plusieurs scénarios de clés « piégées ». Le fil conducteur est la scénario de la clé « perdue » ou offerte : la clé semble avoir été oubliée, ou “égarée” dans la rue, ou “distribuée” dans les boîtes aux lettres ou, plus sournoisement, “offerte” lors d’un événement ou conférence. Déposée sur le coin d’un bureau, près de la machine à café, le but est d’attirer votre attention. Poussé par la curiosité (et potentiellement l’envie de profiter d’une clé de 32 Go !!), l’utilisateur décide de se l’approprier. Il la connecte, par exemple, sur son poste de travail afin d’examiner son contenu…mais rien ne se passe. Quelques jours plus tard, le drame arrive : il reçoit un e-mail dans lequel une personne mal intentionnée lui dévoile avoir piraté ses mots de passe, coordonnées bancaires et récupéré ses données…et tout cela en arrière plan, de manière invisible.
Avec d’autre type de programmes voire via des modifications de l’électronique embarquée, ces clés USB peuvent déclencher une décharge électrique fatale pour tout appareil (ordinateur, smartphone) ou bien aspirer tous les mots de passe stockés sur un ordinateur ou permettre de prendre le contrôle à distance d’un ordinateur, le champ des possibles est vaste et seulement limité par l’imagination des hackers.
Comme nous l’avons vu, certaines clés USB peuvent contenir un malware ou un message frauduleux dont l’objectif est d’infecter votre ordinateur puis l’ensemble du réseau informatique de votre organisation et les conséquences peuvent être dramatiques :
- Vol de données, de mots de passe
- Prise de contrôle à distance
- Arrêt des systèmes
- Usurpation d’identité
- Espionnage
- Destruction complète de votre ordinateur, voire du système informatique
Les organisations sont garantes du RGPD. Rappelons qu’en cas de non-respect du règlement, la CNIL peut “sanctionner un responsable de traitement qui n’a pas pris les mesures nécessaires”.
Que faire si un utilisateur a branché une clé USB malveillante ?
Il vaut mieux prévenir que guérir et donc sensibiliser les collaborateurs à ne pas brancher une clé USB dont ils ne connaissent pas la provenance. Cepensant si un collaborateur connecte une clé USB malveillante il doit immédiatement :
- Verrouiller la session de son ordinateur
- Déconnecter son poste rapidement du réseau et/ou débrancher le câble réseau
- Avertir son responsable et/ou le Service Informatique
Utiliser des Clés USB : les bonnes pratiques
- Configurez un mot de passe pour les fichiers et/ou dossiers que vous sauvegardez sur la clé USB
- Procurez-vous une solution permettant de chiffrer les clés USB
- Restreignez ou interdisez l’usage les clés USB en configurant les paramètres de l’ordinateur
- Désactivez les fonctions Autorun et l’Autoplay (exécution automatique d’un lecteur) de votre ordinateur
- Utilisez des clés biométriques, dont la sécurité repose sur la reconnaissance digitale
Avant toute chose, formez vos collaborateurs aux bons gestes informatiques à adopter au quotidien. Sensibilisez-les notamment aux risques liés à l’utilisation de supports USB et particulièrement aux clés.
Rappelez-leur que toute clé extérieure à votre organisation – offerte, trouvée, prêtée ou provenant de leur sphère privée – ne doit jamais être connectée. En cas de doute, ils ne doivent ni la conserver ni la jeter dans n’importe quelle poubelle. (pour éviter qu’une autre personne ne la trouve et risque de la brancher à son tour). Conseillez leur de remettre cette clé à un expert informatique (de leur entourage professionnel ou privé).