Phishing par clé USB : 1 personne sur 2 hameçonnée !
Plus de 95% des incidents de cybersécurité sont liés à des erreurs humaines (source : World Economic Forum). Cette technique de manipulation utilisée par les cybercriminels est appelée l’ingénierie sociale et elle vise à inciter les utilisateurs à effectuer une action pouvant compromettre le système d’information.
Par ailleurs, l’essor du numérique, favorisé par la pandémie du Covid-19, entraîne une augmentation de ceux-ci. Si l’on pouvait penser que les grandes entreprises étaient les cibles principales de ces attaques, cela n’est plus le cas aujourd’hui. Cibles faciles, car négligentes des risques cyber, les TPE-PME attirent de plus en plus les cyberattaquants qui ne manquent pas d’imagination pour tromper leurs cibles. E-mail, SMS, QR code, point d’accès WIFI ou clés USB, tous les moyens sont mis en œuvre pour tenter d’accéder à des informations confidentielles.
Qu’est-ce que l’hameçonnage par clé USB ?
L’hameçonnage par clé USB est de plus en plus répandu. Pour arriver à ses fins, le pirate informatique va déposer des clés piégées à des endroits stratégiques comme le parking de l’entreprise, le hall d’entrée, le lieu dédié à la pause des employés… En bref tout lieu public où un membre de l’organisation ciblée peut circuler.
Il existe trois principaux types d’attaque :
- Une clé USB de stockage : Il s’agit d’une clé USB classique qui contient un fichier à première vue anodin “Fichier des salaires.xlsx” mais qui contient un script malveillant.
- Une clé USB émulant un clavier: aussi appelé HID (Human Interface Device) spoofing ou encore Rubber Ducky. Lors de cette attaque plus sophistiquée, le dispositif ressemble à s’y méprendre à une clé USB, mais en réalité il fait croire à l’ordinateur qu’un clavier est connecté. Lorsqu’il est branché à un ordinateur, il injecte des frappes de touches pour commander l’ordinateur et peut permettre par exemple à un pirate d’accéder à distance à l’ordinateur de la victime.
- Une clé USB Killer: qui est un dispositif ressemblant à une clé USB mais détruit les composants physiques de n’importe quel appareil auquel il est connecté, comme un ordinateur ou un serveur informatique. La clé est alimentée directement par le port USB et emmagasine ainsi de l’énergie dans ses condensateurs jusqu’à ce qu’ils atteignent une certaine charge, puis elle rejette du courant à haute tension dans l’appareil auquel elle est connectée. En 2019, un étudiant ayant détruit par ce moyen 60 ordinateurs de son université a été condamné à 1 an de prison ferme.
Par la simple connexion d’une clé, un pirate peut donc lancer une multitude d’actions remettant en cause la sécurité globale du système d’information. Par exemple :
- Installation d’un Ransomware / Rançongiciel qui va se propager sur le réseau, chiffrer les données et réclamer en échange du déchiffrement une rançon.
- Récupération de la clé Wi-Fi ou des mots de passe enregistrés dans Chrome.
- Ouverture d’une porte dérobée : Reverse shell, SSH ou installation d’un outil permettant de prendre le contrôle à distance.
- Saturation de la mémoire ou du processeur du PC ou serveur concerné afin de le paralyser : aussi appelé Fork bomb.
- Récupération des mots de passe Windows et envoi par e-mail à l’attaquant.
- Désactivation de l’antivirus.
- Déroutage du trafic web…
En résumé les possibilités sont infinies et ne tiennent qu’à l’imagination de l’attaquant.
Nous constatons dans nos campagnes de test en entreprise un taux d’hameçonnage moyen de 60% pour les clés USB faussement égarées dans les lieux communs. Ce taux peut même atteindre 90% pour des clés adressées personnellement aux utilisateurs par voie postale.
Curiosité ou recherche du propriétaire légitime, ce sont les motivations avancées par les cibles pour justifier l’insertion d’une clé USB inconnue sur leur poste de travail. En revanche, le bilan reste le même : un logiciel malveillant a contaminé le réseau de l’entreprise.
Zoom sur l’étude d’hameçonnage par clé USB sur un campus universitaire ?
Dans le cadre d’une étude réalisée en 2016 par Elie Bursztein (Chercheur français en cybersécurité chez Google), 297 clés USB ont été dispersées au sein du campus de l’université de l’Illinois, à Urbana-Champaign aux Etats-Unis. Il a utilisé différents types de clés : sans étiquette, avec clés, avec étiquette de retour, avec mention « confidentiel » ou « réponses aux examens ».
Moins de 6 minutes, c’est le temps qu’il a fallu attendre avant qu’une première clé soit branchée. 20% des clés USB étaient connectées dès la première heure. En moins de 24 heures, 98% des clés USB avaient été récupérées par les participants. Au total, 135 d’entre eux, soit 45%, ont ouvert un ou plusieurs fichiers contenus dans les clés USB.
Curiosité ou altruisme, les éléments d’identification n’ont que très peu d’influence sur l’ouverture des fichiers ou le retour de la clé USB à son propriétaire. En effet, seulement 54 clés USB, soit 18%, ont été rendues au personnel administratif de l’université. Les chiffres parlent d’eux-mêmes et témoignent du risque important de contamination d’un réseau.
Comment réduire les risques ? La solution BlueSecure
L’humain étant le premier facteur de risques lié à ces attaques, il est devenu indispensable de le former. Pour vous aider, nous proposons des campagnes de simulation d’hameçonnage par clé USB qui visent à déposer des clés USB inoffensives dans des espaces communs tels que le parking, l’espace de pause ou encore le photocopieur.
Nous proposons également des envois ciblés par courrier. Nos clés USB sont configurées pour détecter un ordinateur hameçonné dès le branchement et ne nécessitent donc pas l’ouverture d’un fichier. En complément de ces tests, nous mettons à votre disposition des pages pédagogiques et des e-learning de sensibilisation aux risques d’ingénierie sociale.
N’hésitez pas à nous contacter pour de plus amples renseignements :