Votre clé USB peut-elle donner l’accès à votre système d’information ?
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins de 20 ans), et celle tout aussi formidable, du débit de transfert disponible en norme Universal Serial Bus (multiplié par plus de 3000 sur la même période). Toute condition nécessaire n’étant pas suffisante, c’est l’évolution induite sur les usages (multimédia), et les comportements (dématérialisation) qui a parachevé l’avènement de ce support multi rôles : se déplacer partout avec ses données et ses logiciels préférés, voire amorcer un système complet…
Un succès n’arrivant jamais seul, cet usage massivement répandu de la clé USB en a fait un moyen privilégié pour propager du code malveillant (virus, ver, cheval de Troie…) hors ligne (Internet).
Difficile en effet pour un profane, de résister à l’envie de vérifier le contenu d’une clé trouvée « dans la nature », rappelant au passage combien le facteur humain pèse dans la balance de la vulnérabilité numérique. Pourtant rien n’indique à ce profane, qui pèche par méconnaissance, que la clé qu’il a trouvée n’est pas un « killer USB » – dispositif capable de détruire instantanément la plupart des systèmes auquel il sera branché (en délivrant plusieurs centaines de volts pulsés – tension létale à tout semi-conducteur de la carte mère se trouvant sur son passage – obtenus par conversion de la pacifique alimentation USB elle-même…).
S’il a été épargné par la destruction pure et simple de son matériel, notre profane se pensera sans doute en sécurité si la solution anti-malware de son poste de travail n’a pas réagi – or certains codes malveillants s’exécutent automatiquement lorsque la clé USB est branchée (« autorun ») et passent largement sous les radars du plus à jour des anti-virus (se faisant passer par exemple pour une frappe au clavier…). Et pour cause, toute clé USB contient un microcontrôleur USB programmé par un micro logiciel (« firmware »), qui n’est pas (ou peu) protégé. Dès lors, rien de plus efficace que de modifier ce micro logiciel pour que le comportement de la clé USB soit détourné de son rôle d’origine, et obtenir le vecteur d’une épidémie numérique. C’est sur cette considération que des chercheurs en sécurité confient que « la sécurité de l’USB est fondamentalement brisée », car les attaquants exploitent la façon même dont l’USB est conçu, rendant la menace plus profonde et imperceptible qu’il n’y parait intuitivement : le risque ne réside pas seulement dans ce que la clé transporte, il est intégré au cœur même de son fonctionnement.
Ainsi, un code malveillant peut être installé sur un périphérique USB (clé, cigarette électronique…) pour prendre complètement le contrôle du poste de travail auquel il est connecté, ou même rediriger le trafic Internet de l’utilisateur. Étant donné que ce code malveillant ne réside pas dans la mémoire flash du périphérique USB, mais dans le micro-logiciel qui contrôle ses fonctions de base, le code d’attaque peut rester caché longtemps après que le contenu de la mémoire du périphérique semble avoir été supprimé pour notre profane maintenant bien éclairé. Il a appris depuis longtemps à ne pas lancer de fichiers exécutables à partir de clés USB inconnues, pour autant cette hygiène USB « à l’ancienne » n’est d’aucun secours pour contrer une attaque par micro-logiciel piégé (aucune signature cryptographique du code pour le rendre infalsifiable). Il sait maintenant qu’un risque de sécurité intrinsèque affecte toute clé USB, qui doit être considérée comme irrémédiablement infectée si elle a été compromise au contact d’un ordinateur non fiable – et traitée comme telle (destruction), si l’on ne dispose pas de moyens de décontamination avancés. Citons par exemple les « stations blanches » à base de matériel endurci, passant au crible la clé USB avec la combinaison de plusieurs antivirus et lui faisant subir simultanément une analyse comportementale (du code embarqué : firmware, macro VBA…) avec une plateforme d’analyse malware. Le succès à ce test intensif engendre un certificat d’utilisation borné dans le temps, et valable uniquement si aucun bit n’a ensuite été modifié, et permet à la clé USB d’être utilisée en toute sûreté à l’intérieur du domaine informatique administré.
Nous comprenons maintenant pourquoi la clé USB est dans le collimateur des services de sécurité informatique. Il y a cependant encore trop peu de pédagogie autour de la fermeture des ports USB sur les flottes de PC en entreprise, qui ne se généralise que depuis quelques années. La méthodologie est d’autant moins bien comprise par l’utilisateur, qu’il croit pouvoir contourner cette restriction avec des demandes de déverrouillage « discrétionnaire », qui figurent encore parfois au catalogue de l’offre des portails kiosques informatiques, sans avoir – espérons-le – la moindre chance d’aboutir, fût-elle appuyée par le management opérationnel. Cette remarque concerne le champs IT (besoin bureautique) avec des OS dernière génération à jour et maintenu, songez à ce qu’il en est pour le champs OT (contrôle de production industrielle) avec des OS généralement obsolètes voire hors support éditeur et brèche monumentales de sécurité qui vont de pair (exécution de code à distance) … Les atteintes à une chaine de production industrielle sont potentiellement beaucoup plus graves que celles d’un système d’information mieux préparé à faire face à une attaque, La ségrégation des périphériques mobiles (clé USB) en environnement industriel (OT) permet quant à elle de prévenir un danger immédiat. Encadrer strictement l’utilisation de la clé USB dans le cadre professionnel apparait donc être une nécessité vitale pour le système d’information. Sauf à la bannir définitivement, toute organisation devra s’équiper à cette fin d’une solution de décontamination avancée – telles les stations blanches que nous venons d’évoquer – et qui sont déjà massivement déployées chez les Opérateurs d’Importance Vitale.