Devriez-vous utiliser cette clé USB que vous avez trouvée ?

9 Août 2016

Imaginez-vous la scène : vous vous baladez, chassez des pokémons, prenez l’air frais, regardez les gens passer ou promenez Médor quand votre regard est attiré par quelque chose…. Une clé USB, là, au milieu du trottoir !

dangerous-usb-featured

Jackpot ! C’est Noël ! Comme si vous aviez gagné une petite cagnotte au loto ! À présent, vous vous demandez ce qu’elle contient… Des photos de vacances ? Un plan machiavélique pour devenir le maître du monde ? Les devoirs d’un étudiant ? Impossible de le savoir, sauf si…

Arrêtez-vous tout de suite. Si vous étiez dans cette situation, que feriez-vous ? Est-ce que vous brancheriez la clé USB ou est-ce que vous la jetteriez dans la poubelle la plus proche ? Si vous étiez prêt à la branchez, vous n’êtes pas un cas isolé… mais vous ne devriez vraiment pas le faire.

Cette semaine, à l’occasion de la conférence Black Hat, Elie Burztein a réalisé une présentation qui montrait les résultats d’une petite expérience sociale de son équipe. Ils ont réparti 297 clés USB sur le campus de l’Université de l’Illinois (bien entendu, avec la permission de l’université). Celles-ci contenaient un script inoffensif qui servait uniquement à prévenir les chercheurs si quelqu’un insérait le dispositif dans un ordinateur et à leur donner des informations d’horaires et de localisation.

Les résultats ont été révélateurs : 45 % des clés USB ont été branchées sur un ordinateur, la plupart dans les 10 heures après avoir été ramassées. Il est surprenant de constater que 68 % des personnes ayant ramassé les clés et les ayant branchées ont déclaré (dans une enquête postérieure au test) vouloir les rendre à leur propriétaire légitime : ayons foi en l’humanité !

À présent, voici nos recommandations : si vous vous retrouvez dans une situation semblable à celle des étudiants de l’Université de l’Illinois et trouvez une clé USB devant votre porte, vous ne devriez pas y toucher. Bien entendu, vous pourrez peut-être accéder aux photos osées ou aux déclarations d’impôts de quelqu’un… mais vous pourriez aussi être ciblé par un criminel.

Burztein faisait de la recherche et n’avait pas de mauvaises intentions. Le script sur les clés USB était inoffensif et le test était réalisé de manière responsable. Cependant, on ne peut pas affirmer la même chose de la clé USB que vous pourriez trouver.

L’insertion de ce périphérique pourrait causer des dommages graves. Il pourrait permettre à un attaquant d’accéder à votre ordinateur et d’espionner vos frappes de clavier (y compris vos mots de passe). Il pourrait infecter votre ordinateur avec un ransomware.

Du point de vue d’un cybercriminel, c’est une bonne affaire. La somme d’argent que pourrait voler l’enregistreur de frappes sur votre carte de crédit ou la rançon qu’il pourrait demander sera sûrement bien plus importante que le coût d’une clé USB. Et si 45 % des personnes ramassent les clés, cela pourrait bien être rentable pour les criminels.

Rembobinons…

Vous avez trouvé une clé USB sur le trottoir. Est-ce que vous l’insérez dans votre ordinateur ?

Ou plutôt : êtes-vous prêt à prendre le risque ?