Infection par clé USB : comment s'en protéger ?

Si les clés USB sont devenues un accessoire courant et incontournable pour de nombreux professionnels, cet équipement se présente en réalité comme un redoutable vecteur d’attaque.

Malgré le fait que les cybercriminels n’hésitent pas à utiliser des clés USB infectées pour s’infiltrer dans les systèmes d’information des entreprises françaises, ce mode opératoire est encore largement sous-estimé. Cette tendance s’explique le plus souvent par une complaisance et un manque de vigilance de la part des employés face à des dispositifs en apparence inoffensifs.

Quels sont les dangers liés aux clés infectées en entreprise ? Et quel mode opératoire et mesures préventives adopter ? Analyse et décryptage dans cet article.

Le mode opératoire le plus couramment utilisé par les cybercriminels est de faire croire qu’une clé USB a été perdue ou qu’elle semble avoir été oubliée pour tromper la vigilance des employés. Les scénarios observés sont nombreux : une clé USB oubliée sur un coin de table, une clé envoyée par la poste ou encore distribuée lors d’une conférence, comme ce fut le cas pour l’entreprise IBM en 2010, qui avait distribué à son insu des clés USB infectées.

En général, l’utilisateur, poussé par la curiosité, décide de connecter la clé sur son ordinateur. Ce geste anodin à première vue peut être lourd de conséquences.
Et pour cause, à l’insertion de la clé USB, le programme malveillant présent sur le support amovible s’exécute, lançant ainsi la séquence de détonation de la charge malicieuse et la compromission de la machine.

Ce mode d’action est malheureusement très répandu et occupe désormais la deuxième position au classement des cybermenaces les plus dangereuses.

La curiosité étant parfois plus forte que la raison, de nombreux salariés succombent à la tentation de brancher une clé USB trouvée, sans se méfier des dangers potentiels. Selon l’étude « Users Really Do Plug in USB Drives They Find » menée par Google en 2016, dans laquelle 300 clés USB de différents formats ont été dissimulées sciemment, il apparaît que 48 % des personnes ayant trouvé ces clés les ont ramassées et branchées.

À cela s’ajoute une négligence de la part des utilisateurs envers ces supports considérés comme des consommables. En effet, selon une étude de l’éditeur de cybersécurité Apricorn, 87 % des employés interrogés ont admis avoir perdu une clé USB utilisée au travail sans en informer leur responsable.

Une utilisation non encadrée des supports USB présente de nombreux risques pour votre entreprise. Voici une liste des différents types de menaces liées aux clés USB infectées.

À l’exécution automatique de la clé USB, les programmes malveillants présents peuvent exfiltrer des données sensibles vers un serveur distant. Ces données peuvent contenir des mots de passe et des informations confidentielles présentes sur le disque dur de la victime.

Dans ce cas de figure, il est important de rappeler que les entreprises ont des obligations légales en termes de protection des données personnelles. Si une faille de sécurité révèle un manquement de l’entreprise en matière de cybersécurité, cette compromission peut engendrer une sanction de la part de la Commission Nationale de l'Informatique et des Libertés (CNIL), conformément à l’application du Règlement Général sur la Protection des Données (RGPD).

Les documents présents sur la clé USB peuvent contenir un malware de type Cheval de Troie. À l’aide de ce programme, les cybercriminels peuvent exploiter l'ordinateur infecté et prendre le contrôle à distance, accédant ainsi au réseau interne de l’entreprise.

Certaines clés USB développées à des fins malveillantes, connues sous le nom d’USB Killers, sont conçues pour détruire instantanément le matériel dans lequel elles sont branchées. Cette destruction matérielle se fait par l’envoi d’une décharge électrique à haute tension ayant pour conséquence de détruire la carte mère de l’équipement incriminé.

Un moyen efficace pour limiter les menaces informatiques de clés USB infectées réside dans le fait d’utiliser une station blanche telle que Malware Cleaner d’Orange Cyberdefense.

Une station blanche est un dispositif technologique sous la forme d’une borne ou d’une tablette, spécialement conçue pour analyser, détecter et éliminer les menaces présentes sur un support USB sans laisser de traces sur le système hôte.

En insérant une clé USB dans la borne, cinq moteurs de recherche antivirale sont activés simultanément, offrant une protection contre les malwares (adware, backdoor ou porte dérobée, ransomware, spyware, trojan, etc.).

Dans le cas où des fichiers malveillants sont détectés, la station blanche les supprime ou les met en quarantaine de manière qu’ils ne puissent pas nuire au système hôte.

Dans cette optique, la solution Malware Cleaner offre une décontamination rapide et efficace des clés USB contre les virus informatiques et autres logiciels malveillants tout en préservant l’intégrité de l’entreprise.

Si disposer d’une station blanche dans l’entreprise permet de limiter les cyberattaques par clés USB à l’intérieur de l’entreprise, son utilisation ne protège pas le collaborateur à l’extérieur de l’entreprise.  C’est pourquoi son utilisation doit s’accompagner de bonnes pratiques au quotidien.

Avec l’adoption du travail hybride, la sensibilisation des employés aux dangers liés aux clés USB infectées est essentielle.

Des formations régulières peuvent aider à reconnaître une clé USB infectée et à adopter les bonnes pratiques pour minimiser les risques.

En complément, et à l’instar des campagnes de phishing, l’organisation d’exercices en conditions réelles en disséminant de fausses clés USB piégées dans l’entreprise peut s’avérer utile.

Activer et maintenir à jour les logiciels de sécurité sur les postes de travail tels que les antivirus et EDR est essentiel pour détecter et neutraliser les menaces potentielles associées aux clés USB infectées. Ces outils doivent être configurés pour effectuer un scan systématique des périphériques USB lorsqu'ils sont branchés, permettant ainsi une détection précoce des malwares.

La mise en place d'une politique de sécurité relative à l'utilisation des clés USB est nécessaire. Au-delà de la désactivation de l’exécution automatique à l’insertion du support USB, les privilèges d'accès aux clés USB doivent être limités aux employés concernés pour éviter les accès non autorisés.