Et pour l'humble clé USB, les pirates comptent sur l’exploit le plus fiable qu'ils ont à leur disposition, notre curiosité.
À propos de la curiosité
Selon l'astrophysicien et auteur Mario Livio, on distingue deux types de curiosité : la curiosité perceptive (qui procure des sensations physiques à l’annonce d'une nouvelle surprenante, généralement désagréable) et la curiosité épistémique (qui donne envie de savoir parce qu’on pressent que ce sera positif et qu’on y gagnera quelque chose). Ces deux types ont contribué à notre évolution biologique et technologique.
Si vous lisez un gros titre terrifiant sur la dernière catastrophe naturelle, vous pouvez ressentir de la curiosité perceptive. Cela ne vous rendra pas « heureux », mais ne pas en savoir plus pourrait perturber votre journée. Et si vous recevez un e-mail d’un ami avec une pièce jointe nommée « Lettre d’amour pour toi », vous pouvez ressentir de la curiosité épistémique (surtout si cet ami vous plaît).
C'est exactement comme cela que le virus ILOVEYOU s'est propagé en 2000, causant des dommages estimés entre 5 et 8 milliards d’euros dans le monde.
C’est loin d’être un cas isolé. Depuis le développement des e-mails, les pirates profitent de la curiosité épistémique pour inciter les internautes à cliquer sur des liens et à télécharger des fichiers. Il peut s’agir de pop-ups annonçant que vous avez gagné à un tirage au sort ou d’inconnus sur les réseaux sociaux affirmant qu'ils sont de vieux camarades du lycée. L’une des méthodes d’infection les plus efficaces repose d’ailleurs sur des e-mails vides avec des liens ou des pièces jointes. Les utilisateurs sont si curieux qu'ils les téléchargent sans se poser de question, ce qui facilite mille fois la tâche du pirate.
Les pirates exploitent la curiosité avec tant de talent qu'ils ont même réussi à l’utiliser pour les plus gros piratages de la décennie.
Ce qui nous ramène aux clés USB.
USB - la brèche de sécurité ultime
Que feriez-vous si vous trouviez par terre un USB (Universal Serial Bus), aussi appelé « clé USB » ?
Si vous faites partie de la moyenne, cela susciterait votre curiosité, surtout si la clé indique « confidentiel », « porno » ou « ne pas ouvrir ». Vous brancherez donc la clé USB dès que vous aurez accès à un PC (au travail ou chez vous, selon ce qui est écrit sur l'étiquette). Et ce, que ce soit pour des motifs altruistes (en espérant que les informations qu'elle contient vous aident à retrouver son propriétaire) que par curiosité (juste pour voir ce qu'elle contient). Mais quelles que soient vos intentions, si la clé USB a été infectée par un pirate (ce qui est très probablement le cas), votre appareil sera infecté.
Un dispositif USB peut infecter un appareil de deux façons. La première repose sur la même logique que les e-mails infectés : le dispositif contient un fichier infecté, et pour infecter votre ordinateur, il faut que vous exécutiez le fichier. Dans ce cas, vous pouvez insérer votre clé USB sur votre Mac ou PC et lui faire passer une analyse antivirus avant de l’ouvrir. Ce serait la deuxième chose la plus prudente que vous pourriez faire... Après ne pas l’insérer du tout.
La deuxième façon exploite le problème des dispositifs USB : en général, leurs fabricants ne protègent pas leur micrologiciel. Des pirates suffisamment intelligents peuvent donc les reprogrammer pour frapper plus fort. En général, ils reprogramment le dispositif USB pour qu’il télécharge automatiquement les logiciels malveillants sur l’appareil auquel il est connecté, avant même d’être ouvert. Dans ce cas, vous êtes exposé dès connexion du dispositif.
« Je suis là »
Si vous pensez que les pirates n’utilisent les périphériques USB que pour propager des malwares, vous avez malheureusement tort. Ces techno-sorciers ont imaginé, selon le dernier décompte, jusqu'à 29 façons différentes d'utiliser des dispositifs USB pour faire différentes choses avec votre appareil et vos données.
Par exemple, une attaque USB peut :
-
Prendre le contrôle de votre clavier et saisir des frappes prédéterminées, forçant votre PC à effectuer des actions indésirables
-
Enregistrer vos frappes et envoyer vos données à des serveurs distants
-
Implanter du matériel, comme un récepteur radio
-
Modifier ou manipuler vos fichiers
-
Infiltrer votre webcam et vous filmer
-
Diffuser votre activité publiquement sur les ondes électromagnétiques
-
Détruire votre appareil avec une puissante surtension électrique
Et ce n’est qu'une liste non exhaustive qui s’allonge à une impressionnante vitesse, à mesure que nous développons de nouveaux appareils et logiciels USB. Vous vous dites probablement : ce n’est pas parce que c’est possible que cela peut arriver, non ? Y a-t-il vraiment un pirate qui cache des périphériques USB infectés, tel un vilain lapin de Pâques ?
Vous seriez surpris.
Quand charger un appareil devient un danger
Nous sommes en 2019, vous venez d'atterrir à l’aéroport de Los Angeles et vous êtes épuisé. Vous avez soif, vous avez mal aux jambes et pire encore, votre smartphone n’a presque plus de batterie. Heureusement, il y a des bornes de recharge pour téléphone gratuites. Vous branchez donc votre smartphone pour le recharger suffisamment avant la dernière étape de votre voyage.
Au moment de récupérer votre téléphone, woops, cette station de recharge USB a été piratée et votre téléphone est infecté.
Autre exemple : vous allez au travail et en chemin, assis sur un banc, vous voyez une clé USB. Vous la ramassez, au cas où elle appartiendrait à un collègue. Lorsque vous la branchez, s’affiche un gros message disant que vous venez d'échouer à un test de cybersécurité (dans le meilleur des cas !).
Parce que non seulement ce sont des choses qui arrivent, mais en plus ces attaques fonctionnent très bien. On ne dispose pas de chiffres précis sur le nombre d'« attaques USB Drop » par an, mais une étude de 2016 a montré que, sur 297 clés USB infectées et disséminées sur un campus universitaire, 98 % ont été trouvées et 45 % ont été branchées sur un PC. Soit un taux de réussite de près de 50 %, par rapport à un taux de 0,5 % de personnes craignant les e-mails de phishing (actuellement le vecteur d'attaque le plus populaire). C'est prodigieux.
Donc, même s’il y a peu de chances qu'un pirate dépose une clé USB dans votre allée, si vous travaillez dans une grande entreprise ou pour le gouvernement, faites attention : vous courez plus de risques que la moyenne d’en trouver une par terre.
Ne prenez pas de risques, ne branchez rien
D’où la question : comment se protéger des appareils USB infectés ?
C'est très simple, il suffit de ne pas brancher n'importe quel appareil USB. Si vous le trouvez devant votre bureau, donnez-le au service informatique ou parlez-en à votre chef. Il y en a probablement d’autres et vos collègues ne sont peut-être pas aussi techniquement avertis que vous. Si vous en trouvez un dans un lieu public, rendez service au monde et jetez-le, soit pour vous protéger vous-même et les autres contre les logiciels malveillants, soit pour empêcher un inconnu de compromettre les informations personnelles de quelqu’un. Et si vous devez charger votre téléphone dans un lieu public, n’utilisez que des chargeurs AC. Tout autre pourrait être risqué.
La curiosité peut nous amener à découvrir des choses incroyables, mais ne la laissez pas mettre en péril votre cybersécurité !