Une récente vague de cyberattaques basées sur des clés USB a frappé des organisations aux États-Unis. Des dispositifs USB malveillants sont envoyés à des victimes sélectionnées. Dès qu’ils sont branchés, le mal est fait.

Les menaces posées par les clés USB

Les clés USB sont pratiques, trivialement abordables et omniprésentes. Cette commodité se fait au détriment de la sécurité. Les clés USB sont portables, dissimulables et peuvent être utilisées pour exfiltrer des informations sensibles des ordinateurs et des réseaux d’entreprise. Pour cette raison, de nombreuses organisations interdisent les clés USB sur le lieu de travail et utilisent des outils logiciels pour désactiver l’accès aux clés USB. De telles mesures ne sont pas la norme. En général, elles ne sont déployées que dans les grandes entreprises. Ailleurs, les clés USB sont libres d’être utilisées.

Le vol de données n’est qu’une des menaces. Les clés USB peuvent être égarées et perdues, exposant ainsi des informations privées et sensibles. Les clés USB sont généralement utilisées pour transporter des fichiers et les déplacer entre les ordinateurs. Si une clé est branchée sur un ordinateur infecté par un logiciel malveillant, la clé USB est infectée. Elle devient alors un mécanisme de transport pour le logiciel malveillant. Les clés USB sont susceptibles d’être branchées à des ordinateurs domestiques mal protégés, ainsi qu’à des ordinateurs d’entreprise, ce qui augmente les risques d’infection.

Outre l’infection accidentelle par des logiciels malveillants, les clés USB peuvent être amorcées avec des logiciels malveillants et laissées comme appât. La méthode la plus simple consiste à camoufler un programme malveillant pour qu’il ressemble à un fichier PDF ou à un document, en espérant que la victime essaiera de l’ouvrir. D’autres sont beaucoup plus subtiles.

En janvier 2022, le FBI a publié une déclaration concernant une nouvelle vague de cyberattaques par clé USB, baptisée BadUSB. Des clés USB ont été envoyées à des employés d’organisations de transport, de défense et de finance.

Les clés USB étaient accompagnées de lettres convaincantes. Certaines prétendaient provenir du ministère américain de la santé et des services sociaux et parlaient des directives COVID-19. D’autres imitaient des boîtes cadeaux Amazon et comprenaient même une fausse carte cadeau. Les clés USB étaient modifiées de manière à ce qu’elles attaquent les ordinateurs de la cible dès qu’elles étaient branchées.

L’appât et l’attente

Laisser des clés USB dans les parkings des employés et dans d’autres zones accessibles d’une entreprise est un moyen simple de mettre des clés USB malveillantes entre les mains des employés. Des astuces simples d’ingénierie sociale augmentent la probabilité que quelqu’un la ramène sur son lieu de travail et l’insère dans son ordinateur.

Les clés USB sont placées avant le déjeuner. Ainsi, les employés les trouvent à l’heure du déjeuner. Ils vont retourner à leur bureau pour l’après-midi. Si les clés USB sont déposées après le déjeuner, l’employé risque de les trouver à la fin de sa journée de travail et de l’emporter chez lui.

Le fait d’attacher un trousseau de clés à la clé USB change sa découverte : « J’ai trouvé une clé USB » devient « J’ai trouvé les clés de quelqu’un ». Cela déclenche une série de réactions différentes. Tout le monde peut comprendre le désagrément de perdre un trousseau de clés. Pour essayer de faire ce qu’il faut et d’identifier le propriétaire, la personne qui les trouve est très susceptible de vérifier la clé USB à la recherche d’indices.

Si elle voit un document au titre irrésistible, tel que « Plans de licenciement » ou « Rachat par la direction », elle essaiera probablement de l’ouvrir. Si le document est en réalité un programme malveillant ou transporte une charge utile malveillante, l’ordinateur – et donc le réseau – est infecté.

La formation de sensibilisation du personnel à la cybersécurité doit expliquer les dangers de brancher des clés USB non identifiées. Lorsque j’ai été engagé pour dispenser une formation de sensibilisation du personnel, je fais un suivi quelques semaines plus tard en simulant des attaques bénignes. Cela permet de mesurer la susceptibilité du personnel. Cela permet de répéter les modules de formation si une attaque particulière fait un nombre disproportionné de victimes, et cela permet d’identifier les personnes peu performantes et de les former à nouveau.

Les dépôts de clés USB sont presque toujours couronnés de succès. Même lorsque les membres du personnel identifient correctement les courriels de phishing et d’autres types d’attaques, quelqu’un tombe dans le piège de la clé USB. Il y a quelque chose dans la nature de la clé USB – peut-être parce qu’elle est complètement inerte à moins d’être branchée – qui fait que certaines personnes ne peuvent résister à l’envie de la brancher. Du moins, jusqu’à ce qu’elles soient prises en défaut pour la première fois.

L’approche « une fois mordu, deux fois timide » est acceptable dans le contexte d’une campagne de test bénigne, mais avec une menace réelle ? Vous êtes déjà infecté.

Marcher sur une mine terrestre

Des attaques plus sophistiquées utilisent des clés USB qui peuvent infecter l’ordinateur sans que l’utilisateur n’essaie d’exécuter un programme ou d’ouvrir un fichier. Des clés USB malveillantes ont été créées – et trouvées sur le terrain – qui exploitaient une vulnérabilité dans la manière dont Windows analysait les métadonnées des raccourcis Windows. Cette vulnérabilité a été exploitée de manière à ce qu’une fausse application du Panneau de configuration soit exécutée. Cette fausse application du Panneau de configuration était le logiciel malveillant.

Des attaques plus sophistiquées utilisent des clés USB qui peuvent infecter l’ordinateur sans que l’utilisateur n’essaie d’exécuter un programme ou d’ouvrir un fichier. Des clés USB malveillantes ont été créées – et trouvées sur le terrain – qui exploitaient une vulnérabilité dans la manière dont Windows analysait les métadonnées des raccourcis Windows. Cette vulnérabilité a été exploitée de manière à ce qu’une fausse application du Panneau de configuration soit exécutée. Cette fausse application du Panneau de configuration était le logiciel malveillant.

Il suffisait à l’utilisateur d’insérer la clé USB et d’afficher la liste des fichiers sur le périphérique. Des raccourcis sur la clé USB ont permis de lancer une application malveillante du Panneau de configuration. L’application malveillante se trouvait également sur la clé USB.

Les dispositifs BadUSB ont été modifiés de manière à ce qu’une interaction encore plus réduite soit nécessaire. Il suffit à la victime d’insérer la clé USB.

Lorsqu’ils sont branchés, les dispositifs USB engagent une conversation avec le système d’exploitation. Le dispositif s’identifie en indiquant au système d’exploitation la marque, le modèle et le type de dispositif dont il s’agit. Selon le type de périphérique, le système d’exploitation peut interroger le périphérique USB pour obtenir plus d’informations sur lui-même et ses capacités. Les périphériques BadUSB sont modifiés – le micrologiciel du fabricant est remplacé par un micrologiciel personnalisé par les acteurs de la menace – de sorte qu’ils s’identifient comme un clavier USB.

Dès que le périphérique est enregistré par Windows comme un clavier, il envoie un flux de caractères au système d’exploitation. Windows les accepte comme des données saisies et agit en conséquence. Les commandes ouvrent une fenêtre PowerShell et téléchargent le logiciel malveillant. L’utilisateur n’a rien d’autre à faire que d’insérer la clé USB.

Les clés USB malveillantes connues sous le nom d’USB Killers sont déjà bien connues, mais il s’agit de dispositifs rudimentaires qui endommagent l’ordinateur auquel ils sont branchés. La faible quantité d’énergie électrique envoyée aux périphériques USB est accumulée et amplifiée à l’intérieur du tueur d’USB, puis relâchée sous forme de rafales rapides pouvant atteindre 200 V dans l’ordinateur via le port USB. Les dommages physiques ainsi causés rendent l’ordinateur inopérant. Les tueurs d’USB ne font rien d’autre que du vandalisme, aussi mauvais soit-il. Ils ne propagent pas de logiciels malveillants et n’infectent pas l’ordinateur ou le réseau de quelque manière que ce soit.

En se faisant passer pour un clavier, les dispositifs BadUSB peuvent télécharger et installer n’importe quel type de logiciel malveillant, les voleurs de données d’identification et les rançongiciels étant les plus courants. Les attaques BadUSB sont une forme d’ingénierie sociale. L’ingénierie sociale tente de manipuler la victime pour qu’elle entreprenne une action qui profite aux acteurs de la menace. La lettre de présentation convaincante et les autres pièges se combinent pour ajouter de l’authenticité à l’identité de l’expéditeur.