Nous avons tous utilisé des clés USB de poche pour stocker et transférer des données. Nous les avons aussi perdues un nombre incalculable de fois. Les clés USB sont une commodité nécessaire qui s’accompagne de risques complexes et variés. Outre la perte des “pendrives”, comme on les appelle, les organisations sont la proie d’attaques ciblées sur les clés USB, qui sont assez courantes. Les menaces conçues pour les exploits USB sont passées de 37 % à 52 %, selon l’Industrial Cybersecurity USB Threat Report 2022 (rapport sur les menaces USB en matière de cybersécurité industrielle) d’Honeywell. Même aujourd’hui, à l’ère de l’informatique dématérialisée, des attaques USB sont exécutées, comme certains des événements récents mentionnés ci-dessous.
Incidents USB récents
Ces lecteurs à l’allure élégante ont conduit à une exposition massive et à des violations de données. L’attaque Stuxnet (2010) et l’attaque du Pentagone par une clé USB (2008) figurent parmi les plus grands incidents de sécurité des données à ce jour. Parmi les attaques récentes impliquant des clés USB, on peut citer :
1. Envoi d’USB malveillantes par les services postaux américains, janvier 2022
Des USB malveillantes ont été envoyées à des professionnels des secteurs de la défense, de l’assurance et des transports. Certains de ces courriers ont été envoyés en usurpant l’identité du ministère américain de la santé et étaient censés contenir des directives autorisées sur le coronavirus. D’autres se faisaient passer pour des marques telles qu’Amazon, offrant des bons d’achat gratuits. Les clés USB contenaient des ransomwares qui permettaient aux pirates de s’introduire dans les réseaux des organisations.
2. Le logiciel malveillant Raspberry Robin détecté dans des machines Windows, mai 2022
Le logiciel malveillant Raspberry Robin a été détecté dans des appareils Windows de différents secteurs. Raspberry Robin est un ver Windows qui peut introduire des logiciels malveillants dans les appareils Windows. Le ver installe et exécute des logiciels malveillants dans les appareils, qui peuvent ensuite être utilisés pour élever les privilèges.
3. Un bogue dans un logiciel USB a permis à des pirates d’ajouter de faux appareils, juin 2020
USB for Remote Desktop est un logiciel qui permet aux utilisateurs d’accéder à un périphérique USB branché localement lors de sessions de bureau à distance. Désormais corrigée, cette vulnérabilité aurait pu permettre à des pirates de créer de faux périphériques. Hypothétiquement, de fausses cartes réseau Ethernet ajoutées de cette manière auraient pu conduire à l’infiltration du réseau.
Comment les risques de sécurité USB affectent-ils une organisation ?
Violation de données : Une violation de données se produit lorsque des données organisationnelles sont exposées à des entités externes, comme lorsque les données personnelles de parties prenantes sont publiées sur le dark web. Les conséquences sont souvent trop lourdes. Souvenez-vous d’Equifax.
Infiltration de la sécurité : Une faille de sécurité se produit lorsque les réseaux et les appareils de l’organisation sont exposés à des entités externes. Cela ressemble aux faux appareils ajoutés par les pirates dans l’incident de l’USB mentionné précédemment. Il convient de noter qu’une atteinte à la sécurité n’implique pas nécessairement une atteinte à la protection des données.
Implications en termes de conformité : Les normes réglementaires telles que le GDPR recommandent le cryptage des données pour empêcher l’accès aux données volées. Si vous ne vous y conformez pas, vous vous exposez à de lourdes amendes. En plus de cela, vous finirez par dépenser encore plus en conseils juridiques et en rétablissement des contrôles de sécurité des données.
Interruption des activités de l’entreprise : Lorsque des clés USB sont détournées par des hackers, de nombreuses heures de travail sont consacrées à l’identification des données exposées. Les clés USB peuvent également être utilisées pour diffuser des logiciels malveillants sur les postes de travail. Si les terminaux sont infectés, vous ne pouvez pas les remettre en service rapidement. La réponse aux incidents et la remédiation sont plus prioritaires, ce qui entraîne des temps d’arrêt dans les activités de l’entreprise.
Types de menaces USB
Les attaques USB peuvent être causées par des entités internes ou externes. Dans la plupart des cas, les pirates informatiques incitent les employés ou d’autres parties prenantes à brancher des clés USB dangereuses sur les appareils de l’entreprise. Toutefois, des initiés ayant des motivations financières peuvent également lancer des attaques. Des chercheurs en sécurité israéliens ont identifié jusqu’à 29 attaques USB différentes.
En fonction de l’acteur de la menace, les attaques USB peuvent être classées comme suit :
- Les attaques USB perpétrées par des hackers et des initiés : Ces attaques visent à exposer les données de l’organisation ou à altérer les opérations commerciales. Les cybercriminels peuvent également s’associer à des initiés en concluant des accords monétaires pour lancer une infection par logiciel malveillant dans un réseau.
Exemples : Attaques BadUSB et attaques par canard en caoutchouc.
- Incidents USB provoqués par des employés qui ne se doutent de rien : Les employés négligents qui ne respectent pas les protocoles de sécurité se font souvent voler leurs disques durs ou les perdent en dehors de l’organisation.
Exemples : L’attaque Stuxnet (2010) et l’attaque du Pentagone (2008) ont été provoquées par des employés involontaires qui ont branché des lecteurs inconnus.
Au moins la moitié des incidents de sécurité liés aux clés USB peuvent être évités en sensibilisant les utilisateurs et en renforçant les contrôles de sécurité sur l’accès aux clés USB. Au lieu d’éradiquer complètement l’utilisation des clés USB, les entreprises doivent mettre en place de meilleurs contrôles pour l’utilisation sécurisée des périphériques de stockage amovibles.
Comment prévenir les attaques par USB
Une méthode infaillible pour prévenir les attaques par USB consiste à interdire complètement les dispositifs portables. Cependant, cela n’est pas pratique car les initiés qui cherchent à exploiter les failles trouveront d’autres moyens. Un nombre croissant d’outils sont développés pour aider à mettre en œuvre des contrôles stricts sur les clés USB portables. Il est même possible de suivre les fichiers copiés sur les clés USB à l’aide d’outils de surveillance des postes de travail.
Le bon outil pour vous aider à suivre les actions USB à risque
ManageEngine DataSecurity Plus est une plate-forme unifiée de sécurité et de visibilité des données qui permet d’élaborer des contrôles solides de protection des données. Vous pouvez identifier qui a accédé à un fichier en dehors des heures de travail ou repérer les actions douteuses d’un utilisateur sur des supports amovibles. Vous pouvez également
- Découvrir les données sensibles dans vos serveurs de fichiers et vos serveurs SQL afin de les sécuriser suffisamment.
- Identifier les accès risqués aux fichiers, y compris les modifications et les copies de fichiers.
- Repérer les endroits où les utilisateurs ont collé des fichiers, y compris les actions au sein de la clé USB.
- Autoriser uniquement les lecteurs flash autorisés à l’aide d’une liste de périphériques de confiance.
- Limiter les utilisateurs à la seule lecture des fichiers sur les clés USB.
- Bloquer les actions de copie de fichiers sur le réseau ou en local par les utilisateurs.
Bloquez des clés USB spécifiques, autorisez uniquement l’accès en lecture aux utilisateurs, empêchez les actions de copie de fichiers et essayez toutes nos fonctionnalités dans le cadre d’une version d’essai gratuite de 30 jours.
Source : USB review, Part 1: How are USB flash drives a security risk? by Deepshika Kailash