L’histoire commence de façon classique, vous trouvez une clé USB sur un siège au McDonald’s proche de chez vous.

Vous vous dites par conséquent :

Quelqu’un l’a sans doute oubliée, je vais voir si elle contient des documents au sujet de son propriétaire pour lui ramener

Ou au contraire, vous tenez à en profiter car elle fait « 32Go » et vous aviez justement besoin d’une clé supplémentaire.

Un piège impensable

Vous voilà rentré(e) à la maison. Vous n’avez qu’une idée en tête, voir ce que contient cette clé USB, si déjà elle fonctionne. Vous l’insérez donc dans votre ordinateur… mais rien ne se passe… elle semble cassée. Bien essayé…

Vous comprenez pourquoi elle était abandonnée, finalement.

Puis, quelques jours plus tard, vous recevez un mail suspect qui vous indique qu’une personne a accédé à votre compte mail (ou pire, à votre compte bancaire).

Et là vous ne comprenez pas. Que s’est-il passé ? Vous n’avez installé aucun programme suspect, vous n’avez pas visité de sites suspects non plus et pas même cliqué sur un lien dans un e-mail. Serait-ce la clé USB ? mais comment puisqu’elle ne fonctionnait pas ?

En fait, elle fonctionnait justement très bien.

Il existe des clés USB malveillantes qui se font passer pour un périphérique (ici un clavier) et qui peuvent donc taper des touches arbitraires et ainsi lancer des commandes sur votre ordinateur sans aucune interaction de votre part. Et cela, automatiquement dès leur branchement à l’ordinateur.

clé usb malveillante image

« Une clé USB qui se fait passer pour un clavier et peut lancer des commandes »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Cette clé USB n’est en fait pas une vraie clé USB. Elle sera détectée comme étant un clavier par l’ordinateur (d’où le fait que vous, tout comme votre antivirus, n’y voyez que du feu).

Dès qu’elle est installée, elle va commencer à taper des commandes prédéfinies sans réel souci ni quelconque blocage en amont. Et cela est possible car le système d’exploitation (Mac, Linux et bien sûr Windows) donne naïvement confiance à ce type de périphérique. C’est pour cette même raison que lorsque vous branchez une souris et un clavier, ça fonctionne presque immédiatement.

Exemple de payload s’exécutant automatiquement au branchement de la clé USB. Ici il ouvre le Bloc-Notes de Windows et y écrit du texte.

Et de plus, il est possible pour son auteur de choisir parmi plusieurs Payloads préconçus (des actions prédéfinies)… tous n’étant pas malveillants, car il est par exemple possible de faire la fameuse blague du papier peint

Il reste ensuite à vous souhaitez bonne chance si vous voulez retrouver le responsable, car vous n’aurez à priori pas beaucoup de traces sur lesquelles vous baser. Quoique dans l’exemple du McDonald’s, il sera plutôt aisé de remonter à son auteur si le magasin dispose de caméras de surveillance. Ce qui n’est pas toujours le cas, voir l’exemple plus bas dans cet article.

Note : Certes l’exemple donné au début de l’article est un peu facile dans le sens où l’utilisateur verrait tout de même potentiellement des actions s’effectuer sur son ordinateur comme l’ouverture d’un invite de commande, l’exécution d’un programme ou d’autres changements graphiques comme dans le cas de l’exemple donné précédemment. Mais le plus dur aura été fait pour l’escroc, à savoir vous faire exécuter automatiquement des actions. La barrière de sécurité humaine étant tombée, le risque de piratage devient très élevé.

Des clés USB malveillantes : un problème pourtant connu ?

L’exemple donné dans cet article vous montre pourquoi vous ne devriez jamais insérer une clé USB que vous ne connaissez pas dans votre ordinateur.

Si cela vous semble tout de même très rare, sachez qu’en Australie en 2016, des clés USB malveillantes ont été placées dans des boites aux lettres. Que feriez-vous si cela vous arriverait ?

Et sachez également que la curiosité est bien un vilain défaut, comme le montre cet article qui indique que des centrales nucléaires ont été infectées par le passé à cause de l’introduction de clés USB infectées.

Et ce n’est pas tout

Disons que dans ce cas, vous êtes potentiellement tombé(e) sur une clé USB qui vous a au moins épargné le plantage complet de l’ordinateur en lui injectant un courant électrique faisant griller les composants comme le montre le vidéo ci-dessous :

Dark Purple, le chercheur Russe à l’origine de cette vidéo nous « rassure » tout de même, « il suffit de changer la carte mère, le disque dur ne devrait pas avoir été touché, permettant tout de même de récupérer ses données »…

Mais alors comment faire si je veux vérifier le contenu d’une clé USB en sécurité ?

Excellente question !

La réponse courte, c’est : déconnectez-vous physiquement du réseau Internet (pour éviter tout téléchargement ou fuite de données vers l’extérieur, ainsi qu’une réactivation automatique), puis branchez-la dans un PC dont vous n’avez pas d’inquiétude à ce qu’il soit cassé

La réponse un peu plus longue, c’est : utiliser un Raspberry Pi (Linux) sans connexion Internet avec uniquement une carte SD comme stockage externe. De ce fait, dans le pire des cas il faudra reformater la carte SD et/ou racheter un Raspberry pour 20€. Il existe également des outils de protection pour PC comme GData USB Keyboard Guard (non testé, non approuvé).

Oui cela peut sembler fastidieux, mais ils s’agit de méthodes parmi les seules existantes permettant de brancher une clé USB inconnue. Toute contribution supplémentaire est bien entendu la bienvenue 😉

PS: Je n’ai volontairement pas mentionné la méthode « autorun » qui consiste à utiliser l’utilitaire de lancement automatique pour exécuter un programme suspect dès le branchement d’une clé USB. Pour cela, les antivirus se chargent plutôt bien de détecter les menaces. Mais on n’est jamais trop à l’abri… malheureusement.

Autre ressource qui peut vous intéresser : Savoir repérer des fausses cartes SD

9 Commentaires. En écrire un nouveau

  • Effectivement, une clé USB infectée peut avoir un effet dévastateur sur votre vie privée (vol de photo, vol de MDP ou autre tel que clé privé de portefeuille crypto monnaie ?) ou professionnel (Vol de documents etc…)

    Apres, j’ai du mal à voir quelqu’un de moins de 30 ans inséré naïvement un clé USB trouvée dans la rue sans sécurité ahah.

    Répondre
  • Merci Michel pour la valeur que tu nous apportes ;).

    En fait, y a un CVE qui fait presque la même chose que le rubber ducky …..Ce qui rend les choses plus faciles ^^.

    Et puis je pense qu’on pourra introduire la clé dans une machine virtuelle, de cette façon si quelque chose arrive le system hôte ne sera pas touché.

    Répondre
    • Merci Anass pour ta visite ;). Le problème avec les machines virtuelles c’est que l’isolation est difficile à gérer. Je cite Stackoverflow « When you use VirtualBox, the USB device first connects to the host. Only then, through the VirtualBox drivers »

      Répondre
  • Manon Beaurivage
    1 février 2019 21 h 31 min

    Allo je trouve ça très intéressant….mais je connais une personne qui sent serre pour faire le mal… genre voler des comptes de banque .. et sa propre famille…. assez desevent….

    Répondre
    • @Marion Beaurivage : en ne la dénonçant pas, tu es automatiquement complice.
      Comme n’importe qui ayant connaissance d’un crime avéré et qui protège le criminel…

      Répondre
  • Bonjour et merci pour tous ces articles. Dans la photo, vous montrez le schéma d’une clé usb dotée d’un processeur et d’un slot sd. Savez vous où on peut se procurer ce genre de clés et leur nom svp.

    Répondre
  • Helloo !

    Si une clé a été branché à un ordinateur. Peut-on simplement le réinitialiser avec paramètres de base pour enlever le virus ?

    Répondre
  • Bonjour, je me demandais si on branche la clé usb à un téléphone est-ce que le téléphone va se faire hacker ?

    Car normalement les clé usb hackers sont en généralement optimisé pour les pc du coup je me suis dis qu’on peut peut-être vérifier le contenu d’un clé usb en toute sécurité ?

    Répondre

Laisser un commentaire

Menu
More in Failles Humaines, Hacking Éthique
Comment devenir un professionnel de la cybersécurité ?

Article invité de Gdanldo Ça y est, la rentrée est déjà bien loin derrière nous, on peut parler d'autre choses ! Ou pas ... Le...

Close