Clés USB trouvées : un cadeau piégé. Risques, leurres classiques et réflexes sûrs Par Gilles Boyer
Il est recommandé de proscrire le branchement de toute clé USB inconnue et d’encadrer strictement l’usage des supports amovibles. Les risques portent sur l’introduction de code malveillant, la fuite d’informations et la compromission du réseau. Les bons réflexes incluent la sensibilisation, le durcissement des postes (désactivation des exécutions automatiques), la gestion centralisée des politiques, les sauvegardes déconnectées, le chiffrement des données sur supports nomades et une procédure formelle de gestion d’incident.
Pourquoi une clé USB « trouvée » représente un risque immédiat
Les supports amovibles peuvent propager des virus, permettre le vol d’informations sensibles et compromettre le réseau d’une entité, ce qui justifie de traiter ce risque de manière spécifique et de sensibiliser les utilisateurs. Il est explicitement recommandé de proscrire le branchement des clés USB inconnues, par exemple celles ramassées dans un lieu public, et de limiter au maximum l’usage de supports non maîtrisés sur le système d’information.
Ce que l’on risque concrètement en branchant une clé inconnue
Le branchement d’un support non maîtrisé peut entraîner l’exécution de code malveillant, l’accès illicite à des informations et la mise en danger de l’ensemble du réseau d’entreprise. Le niveau de sécurité minimal des postes doit inclure la désactivation des exécutions automatiques afin de réduire la surface d’attaque liée aux supports amovibles.
Qui peut laisser volontairement une clé et dans quel but
Les attaquants peuvent tirer parti des supports amovibles pour atteindre leurs objectifs, notamment en cherchant à introduire du code malveillant ou à extraire des données. L’enjeu est suffisamment important pour que l’organisation considère par défaut toute clé inconnue comme une source potentielle de compromission et mette en place des mesures adaptées.
Les bons réflexes recommandés
Le premier réflexe consiste à ne jamais connecter une clé USB inconnue et à privilégier, lorsque l’usage des supports amovibles est nécessaire, des supports maîtrisés et contrôlés. Les postes de travail doivent être durcis en désactivant l’autorun afin d’empêcher les exécutions automatiques. L’organisation doit homogénéiser et appliquer rapidement ses politiques de sécurité grâce à un outil de gestion centralisée, ce qui facilite la mise en œuvre de contre-mesures en cas d’incident. Elle doit également maintenir une politique de sauvegarde formalisée, incluant des sauvegardes hors ligne et des tests de restauration périodiques, pour préserver la disponibilité des données en cas d’attaque. Enfin, en contexte nomade, les données stockées sur les supports potentiellement perdables, comme les clés USB, doivent être chiffrées pour en préserver la confidentialité.
Que faire si une clé inconnue est découverte ou si un doute apparaît
Idéalement, dans les entreprises, il est recommandé de disposer d’un référent sécurité connu des utilisateurs et d’une procédure de gestion des incidents. En cas de comportement anormal d’un poste susceptible d’être lié à un support amovible, la bonne réaction consiste à déconnecter la machine du réseau tout en la maintenant sous tension, puis à prévenir la hiérarchie et le référent SSI afin d’organiser l’analyse et la réponse. Les incidents doivent être centralisés et tracés, ce qui suppose d’avoir activé et configuré les journaux pertinents et, le cas échéant, de disposer d’une centralisation des logs pour faciliter la détection et l’investigation.
À retenir
Ayez une posture de prudence vis-à-vis des supports amovibles et demander de proscrire le branchement de toute clé USB inconnue, de durcir les postes contre les exécutions automatiques, d’unifier les politiques techniques, de sauvegarder et tester la restauration des données, de chiffrer les informations stockées sur les supports nomades et de s’appuyer sur une procédure d’incident clairement formalisée.
Des conseils pour les entreprises et ce sont les mêmes pour tout utilisateur d’un ordinateur.
