Compromission via l'USB, une menace toujours présente !

mardi 23 octobre 2018

Par Antoine Cervoise, Security Auditor Pentester

La compromission des ordinateurs via des supports de stockages n'est pas chose nouvelle. On se souvient des disquettes utilisées pour échanger des programmes contenant des virus. Naturellement, cela a évolué vers les CD avec l'apparition des graveurs domestiques, puis vers les clés USB. La présence de programmes malveillants combinés à l'AutoRun entrainait alors une compromission quasi automatique de la machine. Avec le temps, la désactivation de l’AutoRun est devenue une configuration par défaut, obligeant alors les attaquants à inciter les utilisateurs à ouvrir un document ou un programme pour infecter les machines cibles.

Cette dernière méthode est toujours possible, le tout étant d'inciter l'utilisateur à ouvrir le programme. Ces scénarios sont utilisés par des cybercriminels lors d'attaques poussées ou bien par des auditeurs lors de tests d’intrusion Red team. Par exemple en déposant dans la salle de pause des clés USB contenant le catalogue du Comité d’Entreprise et estampillées du logo de celui-ci. Ou en laissant trainer une clé USB étiquetée du mot « Confidentielle » sur un parking.  On retrouve d'ailleurs cette dernière technique dans la série M. Robot.

L'évolution se porte maintenant sur le fait qu'un composant USB peut en cacher un autre. En effet, il est possible de programmer un équipement pour être à la fois un(e) clavier/souris/MP3/etc et une clé USB.  Il est aussi possible de programmer ces équipements afin qu'ils effectuent certaines actions, comme taper au clavier automatiquement juste après leur branchement. Le dépôt d'un fichier malveillant ne se fait alors plus via l’AutoRun ou bien lors de l'ouverture d'un fichier mais dès le branchement de l'équipement USB.

Compromission via USB une menace toujours présente

Il est donc essentiel de sensibiliser les utilisateurs à ne pas brancher aucun équipement USB extérieur à leur machine. Dans le cas des transferts de fichiers, des sas de décontamination existent comme le projet OpenSource du CIRCL CIRCLean. Ceux-ci permettent de transférer des fichiers d'une clé « sauvage » vers une clé saine avec une analyse du contenu.

L'erreur est humaine, il est donc également important de rappeler à l'utilisateur qu'en cas de comportement étrange de la machine, les équipes sécurité doivent être informées le plus rapidement possible.