{"id":9882,"date":"2017-07-13T16:12:24","date_gmt":"2017-07-13T15:12:24","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=9882\/"},"modified":"2019-12-31T10:05:09","modified_gmt":"2019-12-31T09:05:09","slug":"facteur-humain-maitrise-du-risque-usb","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2017\/07\/facteur-humain-maitrise-du-risque-usb\/","title":{"rendered":"L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la ma\u00eetrise du risque USB"},"content":{"rendered":"

L’USB est quasiment incontournable. L’interconnexion non ma\u00eetris\u00e9e des dispositifs avec le SI est facilit\u00e9e par les comportements humains.
\n<\/em>Les moyens d’attaques se perfectionnent et le risque s’accro\u00eet, notamment vis-\u00e0-vis des attaques cibl\u00e9es.
\n<\/em>Une vigilance toute particuli\u00e8re doit \u00eatre accord\u00e9e \u00e0 son usage sur les p\u00e9rim\u00e8tres les plus sensibles, du SI et des populations utilisatrices.
\n<\/em>La prise en compte du facteur humain via une sensibilisation adapt\u00e9e est une mesure essentielle ; les solutions techniques restent un compl\u00e9ment d’efficacit\u00e9 variable.<\/em><\/p>\n

 <\/p>\n

L’IMPORTANCE DU FACTEUR HUMAIN<\/h2>\n

Selon la l\u00e9gende, un homme d\u00e9guis\u00e9 en moine p\u00e9n\u00e9tra sans attirer la m\u00e9fiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir \u00e0 des soldats qui s’en empar\u00e8rent facilement. Il en va de m\u00eame pour des attaques perp\u00e9tr\u00e9es \u00e0 l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.<\/p>\n

Une \u00e9tude publi\u00e9e au Blackhat USA en 2016 a montr\u00e9 que 45% des 297 clefs USB diss\u00e9min\u00e9es<\/b> sur un campus universitaire ont \u00e9t\u00e9 connect\u00e9es \u00e0 des ordinateurs et leurs fichiers ouverts<\/b>. Cette \u00e9tude illustre bien la capacit\u00e9 \u00e0 mener des attaques efficaces via des clefs USB et pour un co\u00fbt minime.<\/p>\n

Par ailleurs qui n’a jamais laiss\u00e9 un t\u00e9l\u00e9phone portable se recharger sur l’un des ports USB de son PC ?<\/p>\n

Si la connexion au r\u00e9seau fait le plus souvent l’objet de nombreuses mesures de s\u00e9curit\u00e9, les autres portes que constituent les ports USB font, g\u00e9n\u00e9ralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et d\u00e9sormais les tablettes et smartphones qui int\u00e8grent la technologie USB On-The-Go.<\/p>\n

Les dispositifs USB sont pr\u00e9sents partout<\/b>, tirant partie de l’interop\u00e9rabilit\u00e9 de l’U<\/u><\/b>niversal <\/u>S<\/b>erial Bus.<\/p>\n

Le revers de la m\u00e9daille de ce d\u00e9veloppement historique et de sa compatibilit\u00e9 descendante, est qu’il n’a pas \u00e9t\u00e9 techniquement con\u00e7u “security by design”<\/b> et que ces dispositifs offrent une large surface d’attaque.<\/p>\n

\"\"<\/a><\/figure>\n

Figure -Vid\u00e9o illustrative de sensibilisation sur la s\u00e9curit\u00e9 des clefs USB<\/em><\/p>\n

 <\/p>\n

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINS\u00c8QUE DE S\u00c9CURIT\u00c9 DES STANDARDS HISTORIQUES<\/h2>\n

Les p\u00e9riph\u00e9riques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur \u00e0 la propagation d’un code malicieux. D’autres types de p\u00e9riph\u00e9riques USB (ex : webcam, clef 4G) peuvent \u00e9galement int\u00e9grer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du p\u00e9riph\u00e9rique.<\/p>\n

La<\/strong> provenance l\u00e9gitime d’une clef USB ne peut garantir enti\u00e8rement son innocuit\u00e9<\/strong>, si celle-ci a \u00e9t\u00e9 compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver r\u00e9cemment \u00e0 un fournisseur de syst\u00e8mes de stockage.<\/p>\n

Par ailleurs, un p\u00e9riph\u00e9rique USB d’apparence banale, peut avoir \u00e9t\u00e9 reprogramm\u00e9 ou modifi\u00e9 physiquement<\/strong> pour compromettre ou endommager le syst\u00e8me sur lequel il est branch\u00e9, par exemple :<\/p>\n