En matière de cybersécurité, les clés USB ont le profil du coupable parfait et ne sont plus en odeur de sainteté dans de nombreuses entreprises. Mais, à vouloir s’en débarrasser entièrement, il ne restera plus qu'à échanger les documents au travers du réseau informatique. Les informations sont alors stockées dans un réseau interne ou Cloud et ne transitent par aucun périphérique physique entre un poste et un autre. C'est confortable, mais le danger change de forme : si tout se joue en ligne, un hacker n'a même plus besoin de sortir de chez lui pour attaquer. Avec un réseau fermé nécessitant un matériel physique, les pirates informatiques doivent au moins continuer à se déplacer. Alors, quelle politique envers les clés USB ?
Les clés USB, nids à cyber-MST
Les clés USB sont en effet, malheureusement, toujours l'une des principales sources d'infection informatique malgré des campagnes de rappel des règles de protection élémentaires à intervalles réguliers. Le dernier rapport d’Honeywell dresse ainsi un panorama effrayant pour tout expert de la cybersécurité : 40% des clés USB contiendraient au moins un dossier présentant des risques et 26% de ces menaces sont susceptibles d’engendrer des problèmes opérationnels.
40% des clés USB contiendraient au moins un dossier présentant des risques
Mais alors que l'échange de données est capital de nos jours au sein des entreprises, il est parfois compliqué de pouvoir transmettre des documents. Face aux particularités de chaque entreprise, avec de nombreux services, éparpillés dans des lieux différents, des réseaux fragmentés, des postes parfois non connectés ou encore des réticences en interne à l’utilisation du Cloud ; les clés USB peuvent encore rendre service. L'autre option consisterait à ouvrir les réseaux mais, même en multipliant pare-feux et protocoles défensifs, le lien réseau représente un danger. Dans certains milieux restreints, comme le domaine militaire ou industriel par exemple, le réseau doit même rester complètement isolé.
Devant un outil aussi porteur de risques, véritable nid à cyber-MST, on peut finalement comprendre qu'IBM ait pris la décision – pourtant controversée – de bannir purement et simplement l'usage des clés USB. Plus proche de nous, dans les couloirs de l’Assemblée nationale, des actions de sensibilisation à l’hygiène numérique visent également à interdire l’utilisation de clés USB offertes à des députés sur des salons. Une telle interdiction est-elle viable ? Utile ? À quelles conditions peut-on continuer de les utiliser sans crainte ?
Quand contrôle rime avec shadow IT
Impossible de remplacer toute une flotte d'ordinateurs par des postes sans ports USB d'un claquement de doigts. Va-t-on fouiller les employés à l'entrée ? Coller des chewing-gums dans les prises ? Enfermer les unités centrales dans des caisses cadenassées ? « Personne n’est capable de contrôler l’intégralité des clés USB de l’entreprise, sauf à bloquer ou monitorer tous les périphériques du parc informatique » assure Marco Genovese, Network Security Product Manager chez Stormshield. On ne peut donc faire l'économie d'un peu de psychologie de base : si la méthode de substitution est trop contraignante, les employés auront vite fait d'en revenir à l'option la plus simple, autorisation ou non. Résultat : les collaborateurs auront recours à des outils sous les radars de la Direction des Systèmes d'Information – réveillant le spectre du fameux shadow IT. Des entreprises 100% Cloud existent déjà, mais sont de fait entièrement dépendantes de leur connexion réseau. Est-ce vraiment une solution ?
Des clés USB pour détecter des cyberattaques ?
Pour Adrien Brochot, Product Leader Endpoint Security chez Stormshield, bannir les clés USB n'est donc pas une bonne idée. Outre le fait de se priver d'un moyen pratique d'échange de données dans des entreprises aux réseaux segmentés, « les clés USB peuvent aussi fonctionner comme des sonnettes d’alarmes ou des points de contrôle ». Dès qu’un logiciel de surveillance détecte qu’une clé n’est plus fiable, c’est le signal d’une cyberattaque potentielle en cours.
Par ailleurs, une mise en réseau généralisée peut également permettre aux cyberattaques de se diffuser plus vite à l’intérieur d’une entreprise, une fois la première ligne de défense franchie. Difficile de se passer de clés USB en entreprises malgré les problèmes de sécurité afférents ; trop risqué de passer au tout-réseau malgré l’attrait du confort : et si l’idéal serait de ne pas avoir à choisir, en trouvant les bons outils de protection, côté clés comme côté réseau ?
L'enrôlement des clés contre l'erreur humaine
Le plus gros danger tient surtout aux utilisateurs. Tant qu'une clé demeure dans son parc, tout va bien ! Mais une promenade est si vite arrivée. Celle-ci peut paraître anodine, un employé peut simplement vouloir montrer ses photos de vacances à ses collègues après être allé les récolter chez lui. Le danger est de se faire infecter à l'extérieur du parc, en se connectant à un PC qui manque de défenses : en général, les attaques visent les ordinateurs les moins protégés – le fameux virus Stuxnet, qui infiltra en 2010 une centrale nucléaire iranienne, provenait d'une clé USB passée par le foyer d'un des ingénieurs.
Ici, la parade consiste à enrôler les clés, c'est-à-dire à demander à un logiciel de scanner et de suivre ensuite les déplacements d'une clé au sein d'un parc. La parade est la même si un utilisateur se connecte délibérément avec une clé vérolée, bien sûr. Une notion de confiance est créée : la clé passe d'abord par une « station blanche », poste à part équipé de plusieurs antivirus pour des analyses complètes. À chaque fois que la clé préalablement scannée par la station blanche est branchée sur un poste du parc, il est possible de vérifier qu'aucun fichier n'a été modifié à l'extérieur. En revanche, dès qu'un changement de données depuis un poste qui n'est pas équipé du logiciel de suivi des clés scannées a lieu, la confiance est rompue et une nouvelle analyse complète de la clé est nécessaire, auprès de la station blanche. La chose est moins contraignante qu'elle en a l'air : le logiciel de suivi peut tout à fait être installé sur un poste personnel.
Le rôle des analyses comportementales
La solution Stormshield Endpoint Security est un autre outil de défense des postes utilisateurs : ses mécanismes de détection et de blocage d’exploitation de vulnérabilités, ainsi que ses règles de contrôle de ressources, permettent de détecter et bloquer des processus ayant des comportements malveillants ou altérés par un attaquant. Si une clé USB infectée entre dans le parc informatique, les comportements erratiques des logiciels qui s'ensuivent sont aussitôt identifiés. Cette technique de protection, nommée Host Intrusion Prevention System ou HIPS, est ainsi capable de bloquer l'attaque.
Mais cette dernière option reste également à perfectionner. Les HIPS ont parfois du mal à bloquer les actions malveillantes constituées d'une succession d'actions qui, dans leur unité, n'ont pas l'air malveillantes. La technologie Endpoint Detection and Response (EDR) permet ainsi d’étendre et d’affiner la visibilité face à ces cyberattaques. À l'avenir, HIPS et EDR sont voués à être complémentaires et avec suffisamment de protections de ce type, « inutile de se donner la peine de bannir les clés USB » conclut Marco Genovese. « L’idée d’IBM de bannir les clés USB est d’abord guidée par des considérations d’image, plus que de cybersécurité. Avez-vous déjà pensé aux dégâts possibles si quelqu’un trouvait une clé USB contenant des données sensibles d’une entreprise qui opère dans la cybersécurité ? »
Merci à Adrien Brochot, Endpoint Security Product Leader chez Stormshield, et Marco Genovese, Product Manager Network Security chez Stormshield, pour leur aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica.
