L’USB existe depuis un quart de siècle et reste une des rares technologies à rester intactes malgré la « loi de Moore » et la révolution technologique actuelle. L’incroyable succès de l’USB réside dans sa flexibilité en tant qu’interface de données, permettant un accès aux périphériques et aux appareils professionnels de la sécurité exigent d’un port de connexion.
De nombreux responsables de la sécurité considèrent que la gestion des menaces liées à l’USB de prévention est efficace pour identifier et empêcher les utilisateurs d’envoyer des données confidentielles en dehors du réseau de l’entreprise. Malheureusement, toutes les attaques ne sont pas uniquement liées à la perte de données.
La plupart des menaces commencent par des mails, mais les événements récents montrent que les criminels voient des opportunités réussies dans les ports USB. Une attaque récente qui proviendrait de FIN7, un groupe de menace russe, consistait à envoyer des boîtes-cadeaux enveloppées dans un ruban doré et contenant de (faux) bons d’achat Amazon d’une valeur de 500 dollars et une clé USB. Ce récent changement de tactique, plus créatif, a attiré l’attention du FBI, qui a déclaré qu’il s’agissait d’une porte d’entrée aux rançongiciels.
Le rapport 2022 State of the Phish confirme également cette tendance. Plus de la moitié (54 %) des organisations mondiales ont signalé des attaques par USB en 2021, soit une hausse de plus de 15 % par rapport à 2020.
Ces attaques sophistiquées vont bien au-delà d’une clé USB trouvée à l’accueil d’une entreprise ou tout simplement « par hasard » dans sa boîte aux lettres. Bien entendu, une étiquette au titre alléchant telle que Plan de bonus annuel " titillera la curiosité de la victime, tandis que « Photos de mariage de Murielle » suscitera sa bienveillance pour rendre les données à leur « propriétaire ».
Contrôler l’accès aux clefs USB
La plupart des responsables de la sécurité ne considèrent pas le simple blocage ou l’interdiction de l’USB dans leur environnement comme une option envisageable. De nombreux matériels informatiques nécessitent l’utilisation de l’USB pour la saisie de la souris et du clavier, ou pour la connectivité de la webcam, et les employés s’en servent pour charger leurs appareils personnels.
Les RSSI ont tendance à assimiler la menace à la perte de données et se sentent rassurés seulement lorsqu’une technologie DLP est mise en place. Pourtant, toutes les solutions DLP ne sont pas fiables et le maintien d’une politique de DLP décente peut représenter une lourde charge pour les entreprises. Qui plus est, si lorsqu’elle est instaurée de manière correcte, la protection est assurée, force est de constater que ce n’est pas le seul angle d’attaque possible.
Des modèles d’attaque multiples
Historiquement, les attaques USB n’étaient qu’une voie de transmission alternative pour les fichiers malveillants, elles contiennent éventuellement des documents MS Office avec des macros malveillantes, et des tentatives pour inciter à cliquer sur des fichiers exécutables. Leur capacité à contourner plusieurs couches de protection et à délivrer le logiciel malveillant directement au Endpoint représente un avantage considérable (pour l’attaquant), mais est légèrement compromise par la latence plus importante des attaques USB comparée aux attaques par email. Un délai qui permet ainsi à la protection du Endpoint d’être mise à jour et potentiellement bloquer l’attaque avant même qu’elle n’arrive.
Les attaques plus récentes ont évolué vers le « HID (Human Interface Device) Spoofing », une technique où la clé USB a été configurée pour se faire passer pour un clavier auprès de l’ordinateur. Lorsqu’elle est insérée, la clé s’enregistre comme un clavier/souris et envoie des commandes, automatisant ainsi une attaque comme si le pirate était assis à son bureau. C’est cette technique du “BadUSB” que FIN7 a utilisée pour lancer les premières étapes de sa récente attaque par rançongiciel.
L’arrivée d’une attaque appelée “USBKill” a été encore plus destructrice, bien que beaucoup plus localisée. Elle transformait la clé USB en un injecteur de tension, capable de déployer une surtension qui grillait la carte mère et rendait les données du PC irrécupérables. Alors que cela pourrait être simplement ennuyeux dans l’environnement de l’entreprise, son potentiel de perturbation ne peut être sous-estimé dans un environnement de technologie opérationnel.
Des solutions pour contrer les menaces par clefs USB
L’examen du potentiel de nuisance de ce modeste port USB pour une entreprise est une étape conseillée, mais il est important de rechercher une solution plus pratique.
Un grand projet britannique a pris la sécurité HID au sérieux, en exigeant que tous les claviers et souris soient limités à un modèle spécifique, inscrit sur une liste blanche dans l’ensemble de contrôle. Cette mesure a fonctionné pour ce projet limité dans le temps, mais serait presque impossible dans un environnement d’entreprise en constante évolution.
D’autres entreprises cherchent à mettre des logiciels sur une liste blanche pour contrôler ce qu’ils peuvent exécuter. Cette action est louable, mais manque de pragmatisme quant à la gestion de la sécurité d’une organisation mondiale.
La prévention des pertes de données est essentielle, mais son efficacité doit reposer sur des contrôles techniques solides et être appliquée automatiquement dans un environnement de données bien entretenu et géré par un personnel formé à la sécurité des données.
Ce qui nous ramène à l’utilisateur. La flexibilité de l’USB lui a permis de conserver sa place dans le paysage technologique. Par conséquent, les cybercriminels chercheront des moyens de concevoir leurs logiciels malveillants physiquement et socialement pour tirer parti de cette accessibilité universelle. Une main-d’œuvre bien formée – consciente de ses responsabilités, comprenant les menaces et continuellement informée des dernières défenses – fournira la meilleure protection.
Tribune par Andrew Rose, RSSI Proofpoint EMEA.