Piratage par clé USB : n’en soyez pas victime!

Pourquoi le facteur humain est la plus grande menace à la cybersécurité

Les pirates informatiques cherchent sans relâche à déjouer la sécurité des pare-feu d’entreprises. De plus en plus ingénieux et créatifs, ils trouvent toujours de nouveaux moyens d’infiltrer des réseaux d’entreprises. Ils ne se contentent plus de s’introduire dans un réseau à partir de l’extérieur. Désormais, à l’insu d’un travailleur en place, ils réussissent à pénétrer par une porte dérobée dans un réseau d’entreprise : alors le système leur appartient. Comment s’y prennent-ils? Grâce au piratage psychologique.

Le terme « piratage psychologique » signifie exploiter les failles de sécurité liées au facteur humain. Les gens sont reconnus comme étant le maillon faible de la sécurité de l’information et le piratage psychologique vient habituellement exploiter leur prédisposition générale à vouloir aider leur prochain. On a souvent vu des pirates appeler le service à la clientèle d’une entreprise en prétendant être un client afin de faire réinitialiser le mot de passe d’un utilisateur. Désormais, les pirates vont plus loin; sans avoir à interagir directement avec les employés de l’entreprise, ils réussissent à obtenir l’accès convoité.

Une forme émergente de piratage psychologique consiste désormais à abandonner une clé USB dans un lieu public. Elle contient une charge malveillante activée lorsqu’une personne branche la clé dans un ordinateur. Il peut s’agir d’un cheval de Troie, d’un dissimulateur d’activité (« rootkit ») ou même d’un rançongiciel, qui peuvent être lourds de conséquences. Le pirate informatique peut ainsi se connecter à distance à l’ordinateur de sa victime, voire le contrôler. Par exemple, le pirate peut lancer un programme d’enregistrement de frappe qui lui transmet toutes les informations saisies sur le clavier de l’ordinateur attaqué (dont les noms d’utilisateur, les mots de passe, les renseignements bancaires, les numéros de carte de crédit et d’autres renseignements confidentiels). Le pirate peut tenter de s’infiltrer encore plus loin dans le réseau et l’attaquer à partir de l’ordinateur de sa victime afin d’obtenir plus de renseignements ou de données confidentielles (p. ex. bases de données). Si la clé USB contient un rançongiciel, le pirate peut verrouiller les fichiers de sa victime et demander une rançon pour en débloquer l’accès.

Étonnamment, 45 % des personnes qui ont trouvé une clé USB l’ont branchée dans leur ordinateur, ce qui a permis au dispositif de « téléphoner à la maison ».

Ce type d’attaque exploite la curiosité des gens (À qui appartient la clé? Que contient-elle? Une personne aura-t-elle des problèmes si la clé tombe entre de mauvaises mains?) Si le pirate tente d’attaquer une entreprise donnée, il laissera la clé dans le stationnement ou une aire commune de l’entreprise, tels le hall, la cafétéria, les toilettes ou un autre emplacement similaire.

Pour rendre la clé USB encore plus attrayante aux yeux d’une victime, le pirate pourrait même l’étiqueter « paie » ou « confidentiel », ou y attacher une vraie clé, comme un porte-clés, pour lui donner plus de réalisme ou d’importance.

Honnêtement, les gens se font-ils prendre?

Oui. Durant le récent congrès Black Hat tenu à Las Vegas, aux États-Unis, en 2016, M. Elie Bursztein, un chercheur en sécurité de Google, a donné une conférence intitulée « Does Dropping USB Drives Really Work?[1] » (Abandonner une clé USB fonctionne-t-il vraiment?), au cours de laquelle il a présenté les résultats de son étude du phénomène. Aux fins de cette étude, son équipe a laissé près de 300 clés USB sur le campus Urbana-Champaign de l’Université de l’Illinois afin d’étudier le comportement des personnes qui les ramassent. M. Bursztein a ainsi découvert qu’étonnamment, 45 % des personnes qui ont trouvé une clé USB l’ont branchée dans leur ordinateur, ce qui a permis au dispositif de « téléphoner à la maison ». Pour un pirate informatique, cette statistique est plutôt favorable.

Mon logiciel antivirus ne devrait-il pas me protéger contre de telles menaces?

Un logiciel antivirus est basé sur des signatures, ce qui signifie qu’il repère certains attributs ou agissements dans des fichiers préalablement déterminés comme étant malveillants. Aujourd’hui, les pirates peuvent modifier ou transformer suffisamment leurs maliciels pour éviter qu’ils soient reconnus et garder une longueur d’avance sur les logiciels antivirus basés sur des signatures. En outre, puisque de nouvelles vulnérabilités de systèmes sont régulièrement découvertes, les pirates sont généralement en avance sur les défenseurs, qui s’efforcent sans cesse de fournir des mises à jour pour repérer les fichiers basés sur des signatures des pirates.

Comment peut-on se prémunir contre de telles attaques?

La sensibilisation des employés est la clé contre ce type de menace. Les organisations doivent s’assurer que leur personnel est conscient des risques liés à cette forme de piratage psychologique. Le message doit être clair : si vous trouvez une clé USB sur votre lieu de travail, remettez-la au service de sécurité. Si elle se trouve à l’extérieur de votre lieu de travail, il est préférable de ne pas la prendre.

Durant sa présentation au congrès Black Hat, M. Bursztein a comparé la situation au fait de trouver de la nourriture par terre. Vous ne ramasseriez pas de la nourriture trouvée par terre pour la manger, alors vous ne devriez jamais ramasser une clé USB abandonnée et la brancher dans votre ordinateur. Dans les deux cas, vous pourriez contracter un virus.

Comment l’équipe de Richter peut vous aider

La prévention est cruciale. Richter peut donner des séances de sensibilisation à la sécurité à l’intention de votre personnel et vous aider à élaborer une stratégie de sécurité des terminaux afin d’évaluer et de sélectionner les produits qui répondent le mieux aux besoins de votre organisation en matière de sécurité.

[1] https://www.blackhat.com/us-16/briefings.html#does-dropping-usb-drives-in-parking-lots-and-other-places-really-work