Vous avez trouvé une clé USB au hasard, peut-être à votre école ou dans un parking ? Vous êtes peut-être tenté de la brancher sur votre PC, mais vous pourriez vous exposer à des attaques ou, pire encore, endommager définitivement votre machine. Voici pourquoi.

Les clés USB peuvent propager des logiciels malveillants

Les logiciels malveillants constituent probablement la menace la plus courante posée par une clé USB. L’infection par cette méthode peut être à la fois intentionnelle et non intentionnelle, selon le logiciel malveillant en question.

L’exemple le plus célèbre de logiciels malveillants diffusés par clé USB est sans doute le ver Stuxnet, qui a été découvert en 2010. Ce logiciel malveillant ciblait quatre failles de type « zero-day » dans Windows 2000 à Windows 7 (et Server 2008) et a dévasté environ 20 % des centrifugeuses nucléaires iraniennes. Comme ces installations n’étaient pas accessibles par Internet, on pense que Stuxnet a été introduit directement à l’aide d’un périphérique USB.

Un ver n’est qu’un exemple de logiciel malveillant autoreproducteur qui peut être diffusé de cette manière. Les clés USB peuvent également diffuser d’autres types de menaces pour la sécurité, comme les chevaux de Troie d’accès à distance (RAT) qui donnent à un attaquant potentiel le contrôle direct de la cible, les enregistreurs de frappe qui surveillent les frappes au clavier pour voler des informations d’identification et les rançongiciels qui demandent de l’argent en échange de l’accès au système d’exploitation ou aux données.

Les ransomwares sont un problème croissant et les attaques par USB ne sont pas rares. Début 2022, le FBI a publié des informations sur un groupe appelé FIN7 qui envoyait des clés USB à des entreprises américaines. Le groupe a tenté d’usurper l’identité du ministère américain de la santé et des services sociaux en incluant les clés USB dans des lettres faisant référence aux directives COVID-19, et a également envoyé certaines clés infectées dans des boîtes cadeaux de marque Amazon avec des notes de remerciement et de fausses cartes cadeaux.

Dans cette attaque particulière, les clés USB se présentaient à l’ordinateur cible comme des claviers, envoyant des frappes qui exécutaient des commandes PowerShell. Outre l’installation de ransomwares tels que BlackMatter et REvil, le FBI a indiqué que le groupe avait réussi à obtenir un accès administratif sur les machines cibles.

La nature de cette attaque démontre la nature hautement exploitable des dispositifs USB. La plupart d’entre nous s’attendent à ce que les périphériques connectés par USB « fonctionnent », qu’il s’agisse de disques amovibles, de manettes de jeu ou de claviers. Même si vous avez configuré votre ordinateur pour qu’il analyse tous les lecteurs entrants, si un périphérique se déguise en clavier, vous êtes toujours exposé à une attaque.

Outre l’utilisation de clés USB pour transmettre une charge utile, les clés peuvent tout aussi bien être infectées en étant placées dans des ordinateurs compromis. Ces périphériques USB nouvellement infectés sont ensuite utilisés comme vecteurs pour infecter d’autres machines, comme la vôtre. C’est ainsi qu’il est possible d’attraper des logiciels malveillants sur des machines publiques, comme celles que vous pouvez trouver dans une bibliothèque publique.

Les « tueurs d’USB » peuvent faire frire votre ordinateur

Si les logiciels malveillants transmis par USB constituent une menace réelle pour votre ordinateur et vos données, il existe une menace potentiellement encore plus grande sous la forme de « tueurs d’USB » qui peuvent endommager physiquement votre ordinateur. Ces dispositifs ont fait sensation au milieu des années 2010, le plus célèbre étant l’USBKill qui en est (au moment de la rédaction de cet article) à sa quatrième itération.

Ce dispositif (et d’autres comme lui) décharge de l’énergie dans ce à quoi il est branché, causant des dommages permanents. Contrairement à une attaque logicielle, un « tueur d’USB » est conçu uniquement pour endommager le dispositif cible au niveau matériel. Il est possible de récupérer les données des lecteurs, mais les composants tels que le contrôleur USB et la carte mère ne survivront probablement pas à l’attaque. USBKill affirme que 95 % des appareils sont vulnérables à une telle attaque.

Ces dispositifs n’affectent pas seulement votre ordinateur via les lecteurs USB, mais peuvent également être utilisés pour délivrer un choc puissant à d’autres ports, notamment les smartphones qui utilisent des ports propriétaires (comme le connecteur Lightning d’Apple), les téléviseurs et écrans intelligents (même via DisplayPort) et les périphériques réseau. Alors que les premières versions du « dispositif de pentesting » USBKill réutilisaient l’énergie fournie par l’ordinateur cible, les versions plus récentes contiennent des batteries internes qui peuvent être utilisées même contre des appareils qui ne sont pas sous tension.

L’USBKill V4 est un outil de sécurité de marque utilisé par les entreprises privées, les sociétés de défense et les forces de l’ordre du monde entier. Nous avons trouvé des dispositifs similaires sans marque pour moins de 9 $ sur AliExpress, qui ressemblent à des clés USB standard. Ce sont les clés USB que vous êtes le plus susceptible de rencontrer dans la nature, sans aucun signe révélateur des dommages qu’elles peuvent causer.

Comment faire face aux dispositifs USB potentiellement dangereux ?

Le moyen le plus simple de protéger vos appareils est d’examiner minutieusement chaque dispositif que vous connectez. Si vous ne savez pas d’où vient un disque, n’y touchez pas. Contentez-vous de disques neufs que vous possédez et achetez vous-même, et réservez-les aux appareils auxquels vous faites confiance. Cela signifie ne pas les utiliser avec des ordinateurs publics qui pourraient être compromis.

Vous pouvez acheter des clés USB qui vous permettent de limiter l’accès en écriture, que vous pouvez verrouiller avant de vous connecter (pour empêcher les logiciels malveillants d’être écrits sur votre disque). Certains lecteurs sont dotés de codes d’accès ou de clés physiques qui masquent le connecteur USB afin qu’il ne puisse être utilisé que par vous (bien que ces clés ne soient pas nécessairement inviolables).

Bien que les tueurs d’USB puissent vous coûter des centaines ou des milliers de dollars en dommages matériels, vous ne risquez pas d’en rencontrer, à moins que quelqu’un ne vous cible spécifiquement.

Les logiciels malveillants peuvent gâcher votre journée ou votre semaine, et certains rançongiciels vous prendront votre argent avant de détruire vos données et votre système d’exploitation. Certains logiciels malveillants sont conçus pour crypter vos données de manière à les rendre irrécupérables, et la meilleure défense contre tout type de perte de données est de toujours disposer d’une solide solution de sauvegarde. Idéalement, vous devriez avoir au moins une sauvegarde locale et une sauvegarde à distance.

Lorsqu’il s’agit de transférer des fichiers entre des ordinateurs ou des personnes, les services de stockage en nuage comme Dropbox, Google Drive et iCloud Drive sont plus pratiques et plus sûrs que les périphériques USB. Les fichiers volumineux peuvent encore poser problème, mais il existe des services de stockage en nuage dédiés à l’envoi et à la réception de fichiers volumineux auxquels vous pouvez vous adresser.

Dans les cas où le partage de lecteurs est inévitable, assurez-vous que les autres parties sont conscientes des dangers et prennent des mesures pour se protéger (et vous par extension). L’utilisation d’un logiciel anti-malware est un bon début, surtout si vous utilisez Windows.

Les utilisateurs de Linux peuvent installer USBGuard et utiliser une simple liste blanche et une liste noire pour autoriser ou bloquer l’accès au cas par cas. Les logiciels malveillants pour Linux étant de plus en plus répandus, USBGuard est un outil simple et gratuit que vous pouvez utiliser pour renforcer votre protection contre les logiciels malveillants.

Soyez prudent

Pour la plupart des gens, les logiciels malveillants transmis par USB ne représentent qu’une faible menace, car le stockage en nuage a remplacé les périphériques physiques. Les « tueurs d’USB » sont des dispositifs qui font peur, mais vous n’en rencontrerez probablement pas. En prenant des précautions simples, comme ne pas insérer de clés USB dans votre ordinateur, vous pouvez éliminer presque tous les risques.

Il serait toutefois naïf de penser que des attaques de cette nature se produisent. Parfois, elles visent des personnes en particulier et sont livrées par la poste. D’autres fois, il s’agit de cyberattaques sanctionnées par l’État qui endommagent les infrastructures à grande échelle. Respectez quelques règles générales de sécurité pour être en sécurité en ligne et hors ligne.