Les lecteurs de stockage USB amovibles existent depuis près de deux décennies, tout comme les inquiétudes concernant la manière dont les cybercriminels peuvent utiliser ces petits dispositifs peu coûteux pour diffuser des logiciels malveillants et voler secrètement des données sur des réseaux protégés. Aujourd'hui, on pourrait penser que le commun des mortels sait mieux que quiconque qu'il faut prendre une étrange clé USB et la brancher sur son ordinateur, mais ce n'est pas nécessairement vrai. Malgré les avertissements des professionnels de l'informatique et des médias, la curiosité naturelle et les autres émotions des utilisateurs finaux les rendent encore vulnérables à l'ingénierie sociale basée sur l'USB.
Les clés USB amovibles ne sont que l'un des nombreux périphériques USB qui peuvent être utilisés pour compromettre un ordinateur, des claviers sans fil et des webcams externes aux gadgets bon marché. Les connexions USB sont également courantes dans les appareils de l'Internet des objets (IoT). Même un câble USB ou un chargeur de téléphone - qui peuvent sembler aussi inoffensifs qu'une rallonge électrique - peuvent être utilisés à des fins militaires. En fait, des chercheurs de l'université Ben-Gourion du Néguev en Israël ont récemment identifié 29 façons dont un attaquant pourrait utiliser des dispositifs USB pour compromettre un ordinateur.
Oui, les attaques par USB fonctionnent et la sécurité USB est très importante
Quelle que soit la forme qu'elle prend, une attaque par USB nécessite qu'une personne non intentionnelle connecte le dispositif malveillant à un ordinateur. Lors d'un largage USB, les attaquants laissent les lecteurs USB chargés de logiciels malveillants à proximité de leurs cibles - dans les parkings ou les zones communes, par exemple - et attendent qu'une personne curieuse récupère les lecteurs apparemment perdus et les branche. Cette stratégie peut sembler peu probable, mais la combinaison de la technologie et de l'ingénierie sociale est remarquablement efficace.
En fait, une étude de 2016 sur les clés USB a révélé un taux de réussite estimé entre 45 et 98 %. Dans le cadre d'une expérience contrôlée, les chercheurs ont laissé près de 300 clés USB sur le campus de l'université de l'Illinois à Urbana-Champaign. Les lecteurs étaient chargés avec des fichiers .html qui généraient des notifications s'ils étaient ouverts.
Les résultats ont donné à réfléchir : Les gens ont pris 98% des clés et ont ouvert un ou plusieurs fichiers sur 45% d'entre elles. En d'autres termes, près de la moitié des attaques simulées ont été clairement couronnées de succès. Il est également possible que des personnes aient branché les autres disques qu'elles ont trouvés mais n'aient pas ouvert les fichiers, ce qui constituerait également un sérieux risque pour la sécurité.
Ainsi, si un attaquant a laissé 10 clés USB dans le bâtiment de votre organisation, combien pensez-vous que vos utilisateurs en brancheraient ? Ouvriraient-ils les fichiers sur quatre ou cinq d'entre elles, comme l'étude le suggère ?
Altruisme et l'intérêt : les failles de la sécurité des clés USB
Il est tentant de supposer que les étudiants et le personnel qui ont branché les clés USB étaient illettrés en matière de sécurité, mais ce n'est pas le cas. Leurs réponses aux questions de l'échelle des intentions de comportement en matière de sécurité (SeBIS) n'ont révélé aucune différence significative entre ceux qui ont branché une clé USB et la population en général. En conséquence, les chercheurs ont conclu qu'une attaque USB "serait efficace contre la plupart des utilisateurs et que le citoyen moyen ne comprend pas le danger de connecter un périphérique inconnu à son ordinateur".
Selon l'étude, les gens ont été amenés à insérer les clés USB dans un premier temps par des intentions altruistes : ils espéraient rendre la clé à son propriétaire. Mais une fois les lecteurs connectés, près de la moitié des personnes ont été "assaillies par la curiosité et ont ouvert des fichiers intrigants - comme des photos de vacances - avant d'essayer de retrouver le propriétaire du lecteur". Les attaquants peuvent utiliser des noms de fichiers conçus pour piquer la curiosité sur les clés USB armées - une technique d'ingénierie sociale puissante.
"Ces preuves rappellent à la communauté de la sécurité que les attaques moins techniques restent une menace réelle et que nous n'avons pas encore compris comment nous défendre avec succès contre elles", ont conclu les chercheurs. "Nous devons mieux comprendre la dynamique des attaques d'ingénierie sociale, développer de meilleures défenses techniques contre elles et apprendre comment sensibiliser efficacement les utilisateurs finaux à ces risques".
Une approche proactive de la sécurité USB : un logiciel de sécurité et de simulation
Que pouvez-vous donc faire pour réduire le risque d'attaques USB dans votre organisation ? Nous recommandons une approche proactive : évaluer la vulnérabilité des utilisateurs à ces attaques, leur faire prendre conscience de la manière dont les dispositifs USB malveillants peuvent provoquer l'infection du système et la perte de données, et leur apprendre comment éviter ces menaces. Nos simulations ThreatSim® USB vous permettent d'identifier les utilisateurs finaux qui prendront et utiliseront des clés USB inconnues, vous donnant des données exploitables sur la vulnérabilité de votre organisation à une attaque par chute de clé USB. Après avoir laissé des lecteurs USB dans vos locaux, vous pouvez suivre les lecteurs qui sont ouverts grâce à notre plateforme d'éducation à la sécurité.
Les attaques USB simulées sont un excellent moyen de sensibiliser rapidement les employés à la menace et de les rendre plus réceptifs à une formation approfondie sur les attaques d'ingénierie sociale et la protection des données. Nous proposons un module de formation spécifique, USB Device Safety, qui peut être affecté au renforcement des connaissances des meilleures pratiques pour les utilisateurs finaux qui tombent dans le piège d'une attaque simulée.
Nous avons récemment amélioré notre produit de simulation USB pour offrir des capacités de libre-service et une plus grande flexibilité. Les clients peuvent charger leurs propres dispositifs USB et les utiliser pour lancer des campagnes à tout moment et en toute quantité. Et maintenant, nous proposons également une utilisation illimitée : aucune restriction sur le nombre de clés USB que vous pouvez distribuer ou sur le nombre de campagnes que vous pouvez lancer.
Étant donné la popularité constante des clés USB - et l'expansion de l'IdO et des dispositifs connectés -, la réduction du risque d'attaques par les clés USB est importante pour la cybersécurité de toute organisation. Essayez la formation de sensibilisation à la sécurité de Proofpoint et voyez comment nous pouvons vous apporter des résultats pour votre organisation, comme nous l'avons fait pour des milliers d'autres clients.