L’histoire commence de façon classique, vous trouvez une clé USB sur un siège au McDonald’s proche de chez vous.

Vous vous dites par conséquent :

Quelqu’un l’a sans doute oubliée, je vais voir si elle contient des documents au sujet de son propriétaire pour lui ramener

Ou au contraire, vous tenez à en profiter car elle fait « 32Go » et vous aviez justement besoin d’une clé supplémentaire.

Un piège impensable

Vous voilà rentré(e) à la maison. Vous n’avez qu’une idée en tête, voir ce que contient cette clé USB, si déjà elle fonctionne. Vous l’insérez donc dans votre ordinateur… mais rien ne se passe… elle semble cassée. Bien essayé…

Vous comprenez pourquoi elle était abandonnée, finalement.

Puis, quelques jours plus tard, vous recevez un mail suspect qui vous indique qu’une personne a accédé à votre compte mail (ou pire, à votre compte bancaire).

Et là vous ne comprenez pas. Que s’est-il passé ? Vous n’avez installé aucun programme suspect, vous n’avez pas visité de sites suspects non plus et pas même cliqué sur un lien dans un e-mail. Serait-ce la clé USB ? mais comment puisqu’elle ne fonctionnait pas ?

En fait, elle fonctionnait justement très bien.

Il existe des clés USB malveillantes qui se font passer pour un périphérique (ici un clavier) et qui peuvent donc taper des touches arbitraires et ainsi lancer des commandes sur votre ordinateur sans aucune interaction de votre part. Et cela, automatiquement dès leur branchement à l’ordinateur.

clé usb malveillante image

« Une clé USB qui se fait passer pour un clavier et peut lancer des commandes »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Cette clé USB n’est en fait pas une vraie clé USB. Elle sera détectée comme étant un clavier par l’ordinateur (d’où le fait que vous, tout comme votre antivirus, n’y voyez que du feu).

Dès qu’elle est installée, elle va commencer à taper des commandes prédéfinies sans réel souci ni quelconque blocage en amont. Et cela est possible car le système d’exploitation (Mac, Linux et bien sûr Windows) donne naïvement confiance à ce type de périphérique. C’est pour cette même raison que lorsque vous branchez une souris et un clavier, ça fonctionne presque immédiatement.

Exemple de payload s’exécutant automatiquement au branchement de la clé USB. Ici il ouvre le Bloc-Notes de Windows et y écrit du texte.

Et de plus, il est possible pour son auteur de choisir parmi plusieurs Payloads préconçus (des actions prédéfinies)… tous n’étant pas malveillants, car il est par exemple possible de faire la fameuse blague du papier peint

Il reste ensuite à vous souhaitez bonne chance si vous voulez retrouver le responsable, car vous n’aurez à priori pas beaucoup de traces sur lesquelles vous baser. Quoique dans l’exemple du McDonald’s, il sera plutôt aisé de remonter à son auteur si le magasin dispose de caméras de surveillance. Ce qui n’est pas toujours le cas, voir l’exemple plus bas dans cet article.

Note : Certes l’exemple donné au début de l’article est un peu facile dans le sens où l’utilisateur verrait tout de même potentiellement des actions s’effectuer sur son ordinateur comme l’ouverture d’un invite de commande, l’exécution d’un programme ou d’autres changements graphiques comme dans le cas de l’exemple donné précédemment. Mais le plus dur aura été fait pour l’escroc, à savoir vous faire exécuter automatiquement des actions. La barrière de sécurité humaine étant tombée, le risque de piratage devient très élevé.

Des clés USB malveillantes : un problème pourtant connu ?

L’exemple donné dans cet article vous montre pourquoi vous ne devriez jamais insérer une clé USB que vous ne connaissez pas dans votre ordinateur.

Si cela vous semble tout de même très rare, sachez qu’en Australie en 2016, des clés USB malveillantes ont été placées dans des boites aux lettres. Que feriez-vous si cela vous arriverait ?

https://twitter.com/TigzyRK/status/751725333552955392

Et sachez également que la curiosité est bien un vilain défaut, comme le montre cet article qui indique que des centrales nucléaires ont été infectées par le passé à cause de l’introduction de clés USB infectées.

Autre possibilité pour une clé USB malveillante

Disons que dans ce cas, vous êtes potentiellement tombé(e) sur une clé USB qui vous a au moins épargné le plantage complet de l’ordinateur en lui injectant un courant électrique faisant griller les composants comme le montre le vidéo ci-dessous :

https://www.youtube.com/watch?v=_TidRpVWXBE

Dark Purple, le chercheur Russe à l’origine de cette vidéo nous « rassure » tout de même, « il suffit de changer la carte mère, le disque dur ne devrait pas avoir été touché, permettant tout de même de récupérer ses données »…

Mais alors comment faire si je veux vérifier le contenu d’une clé USB en sécurité ?

Excellente question !

La réponse courte, c’est : déconnectez-vous physiquement du réseau Internet (pour éviter tout téléchargement ou fuite de données vers l’extérieur, ainsi qu’une réactivation automatique), puis branchez-la dans un PC dont vous n’avez pas d’inquiétude à ce qu’il soit cassé

La réponse un peu plus longue, c’est : utiliser un Raspberry Pi (Linux) sans connexion Internet avec uniquement une carte SD comme stockage externe. De ce fait, dans le pire des cas il faudra reformater la carte SD et/ou racheter un Raspberry pour 20€. Il existe également des outils de protection pour PC comme GData USB Keyboard Guard (non testé, non approuvé).

Oui cela peut sembler fastidieux, mais il s’agit de méthodes parmi les seules existantes permettant de brancher une clé USB inconnue. Toute contribution supplémentaire est bien entendu la bienvenue 😉

PS: Je n’ai volontairement pas mentionné la méthode « autorun » qui consiste à utiliser l’utilitaire de lancement automatique pour exécuter un programme suspect dès le branchement d’une clé USB. Pour cela, les antivirus se chargent plutôt bien de détecter les menaces. Mais on n’est jamais trop à l’abri… malheureusement.

Autre ressource qui peut vous intéresser : Savoir repérer des fausses cartes SD

Articles similaires

Menu