Discussion :

[Patrick Ruiz]

Que faire si vous retrouvez une clé USB dans votre boîte aux lettres ?
Des habitants du Nord 59 en France seraient confrontés à ce problème

Le groupement de gendarmerie départementale du Nord 59 (Villeneuve-d'Ascq) a récemment posté un appel à la vigilance sur sa page Facebook. Des individus mal intentionnés déposeraient des clés USB en guise de cadeau dans des boîtes aux lettres. Il déconseille fortement à la population de connecter ces clés USB à leurs ordinateurs de peur de voir leurs informations personnelles livrées à des tiers.

Les habitants de la commune de Pakenham en Australie auraient reçu le même type de cadeau empoisonné en 2016, une clé USB dans une boîte aux lettres, pour des recommandations similaires de la police australienne : éviter de la connecter à son ordinateur.

Les commentaires qui ont suivi l’annonce du groupement de gendarmerie du Nord 59 font état du degré de psychose et du manque de préparation face à des tentatives de cette nature.

Un premier internaute pense qu’il s’agit simplement d’un canular, pour lui, les gendarmes en feraient trop surtout qu’ils n’ont pas fait mention de cas recensés ou de témoignages. Pour un autre, il ne s’agit de rien de grave. Un malware se lance uniquement par le biais d’un fichier exécutable, pour lui il est donc impossible d’infecter un ordinateur en y introduisant une clé USB.

Une analyse qu’on qualifierait de fine a ensuite suivi, il ressort de celle-ci que les hackers ne peuvent courir le risque de réaliser des gains que l’on pourrait tracer. La réaction suivante était celle de quelqu’un de conformiste qui a estimé qu’il faut simplement suivre les recommandations de la gendarmerie.

Les deux dernières réactions sont celles de personnes qui penchent plus pour la thèse selon laquelle de telles clés sont des pièges. La dernière notamment, même sans être en lien direct avec l’annonce du Nord 59 pourrait être considérée comme un témoignage. L’internaute affirme en effet avoir reçu une clé USB via sa boîte aux lettres il y a trois ans, et souligne que l’usage de cette clé lui a causé d’importants revers dont l’infection de la machine et des tentatives de piratage de son compte en banque.

Prudence tout de même, parce que des personnes s’amusent à concevoir toutes sortes de gadgets dangereux. Dans le cas des clés USB, le dommage causé peut même être matériel, on peut citer le cas de la USB Killer conçue par un ingénieur russe pour griller carrément l’ordinateur auquel un tiers la connecterait.

Il pourrait cependant être de la plus absolue nécessité de connecter une clé USB inconnue à son ordinateur, dans ce cas, que faire ?

Source : Compte Facebook du groupement de gendarmerie du Nord 59

Et vous ?

Qu'en pensez-vous ?
Connecter simplement une clé USB inconnue à sa machine est-il un acte très risqué ? Pourquoi ?

Voir aussi :

Les périphériques USB responsables d'une infection sur huit, sur les 700 000 recensées en 2010 par AVAST

[Matoto.qn]

Je pense que si on a un système bien cloisonné, ça ne devrait pas être très dangereux. Perso je brancherais la clef sur mon pc en ayant d'abord booté sur un environnement comme Kali (en live usb) ou Qubes OS, voire même sur mon raspberry pi.

[Vulcania]

Je pense que si on a un système bien cloisonné, ça ne devrait pas être très dangereux. Perso je brancherais la clef sur mon pc en ayant d'abord booté sur un environnement comme Kali (en live usb) ou Qubes OS, voire même sur mon raspberry pi.

Perso je tenterai même pas, je fous la clé à la poubelle, étant donné l’existence des USB killer

[MaximeCh]

D'accord avec le Raspberry Pi. Quand la clé USB vaut plus que l'ordi c'est plus tranquille...

[nacrotic]

Une preuve que la sélection naturelle existe aussi sur internet.

Blague a part, j'ouvrirais le boitier pour vérifier la nature de la clé (usb killer, stockage, autre)
Si c'est du stockage, je l'utiliserait sur un environnement maîtrisé (live CD ou raspbery pi)

[Aiekick]

je l'offre en cadeau a ma belle mere

[MikeRowSoft]

Même les voitures craigne les USB Kill maintenant.
Les écoles... Bonne chance...

[hotcryx]

la clé de la mort

[GrandDI]

Bonjour,

Personnellement, je la jette, ou au pire des cas sur un ordinateur isolé du réseau, dont je me sert plus du tout

[LapinGarou]

Je l'offre à mon ex Comme ça elle me lâchera un peu.

[joublie]

Quitte à être didactique, l'avertissement des gendarmes aurait dû ajouter qu'une clé USB malfaisante peut mettre en panne l'électronique d'une machine hôte.
Quand on le sait, ça calme bien la curiosité.

[JKane]

Un premier internaute pense qu’il s’agit simplement d’un canular, pour lui, les gendarmes en feraient trop surtout qu’ils n’ont pas fait mention de cas recensés ou de témoignages. Pour un autre, il ne s’agit de rien de grave. Un malware se lance uniquement par le biais d’un fichier exécutable, pour lui il est donc impossible d’infecter un ordinateur en y introduisant une clé USB.

Et le fichier autorun qui peut lancer automatiquement un fichier exécutable dès que l'on branche une clé usb.

[CaptainDangeax]

D'acccord avec Matoto, le RPi est la solution pour ce genre de trucs, et je commence par un dd if=/dev/zero of=/dev/sdb bs=1M oflag=direct. Une clé USB gratuite, merci les gens.

[CaptainDangeax]

Et le fichier autorun qui peut lancer automatiquement un fichier exécutable dès que l'on branche une clé usb.

Ce n'est vrai qu'avec un système privateur qui sous des apparences de facilité d'usage considère tout fichier comme exécutable, une ENAURME faille de sécurité, assurément !

[CoderInTheDark]

J'ai déjà plein de clé gratuite que l'on m'a offert sur les salons.
D'ailleurs je devrais peut être m'en méfier
Alors branché une clé louche, ça n'en vaut pas la peine.

Si vous trouvez une barre chocolaté dans votre boîte lettre vous l'a mangé ?
Si vous étiez un poisson vous mangeriez le vers de terre ?
Bah c'est pareil

C'est comme dans Mrs Robot a un moment elle jette des clef pour propager un malware.

J'évite de l'offrir on va me faire un procès pour sabotage ou c'est bibi qu'on appelle pour réparer l'ordinateur.

[athlon64]

Je pense que si on a un système bien cloisonné, ça ne devrait pas être très dangereux. Perso je brancherais la clef sur mon pc en ayant d'abord booté sur un environnement comme Kali (en live usb) ou Qubes OS, voire même sur mon raspberry pi.

Tu risques fort de griller ton ordinateur en lui injectant une tension élevée qui peut avoisiner le niveau du secteur ...

Une chose est sûre je ne brancherai une clé inconnue sur ma machine, au pire je sortirai un viel ordi de la cave en bootant sur un autre OS que Windows.
Un Raspberry est très bien aussi.

[domi65]

Je me rappelle la boîte de Pandore.

[GrandDI]

Je me rappelle la boîte de Pandore.

Toi tu as regardé Lara Croft Tomb Raider hier soir ^^

[stigma]

Il y a plus de chance que la clé recèle un ransomware qu'un Killer. Quel intérêt pour le malveillant personnage de détruire un PC inconnu. Alors qu'un ransomware peut rapporter gros.

[flobuz]

Bonjour à tous,
Je pense pour ma part que la gendarmerie a eu tout à fait raison d'alerter les citoyens en question.
Comme la plupart des agences de sécurité informatique, la mienne créé tous les jours des clés USB piégées qui sont utilisées lors de nos tests d'intrusion et audits de sécurités auprès de nos clients.
Ce type de clé piégée est souvent nommé "Rubber Ducky". Elle se base sur une fonctionnalité inhérente à l'USB (le plug-and-play, qui permet de brancher un clavier sans avoir à installer de pilote), donc très compliquée à déjouer.

Il s'agit d'une attaque de type "social engineering" (manipulation) : on exploite ici la bonne vieille curiosité humaine pour pousser une cible à insérer une clé USB piégée sur son PC. On peut par exemple semer quelques clés piégées sur un parking, dans des bureaux etc. Si on y collé une étiquette "CONFIDENTIEL" ça fonctionne encore mieux

On a en gros 2 choix :
- soit on piège la clé USB avec un vulgaire virus, qui sera exécuté par le curieux après avoir branché la clé sur son PC,
- soit on modifie la clé USB pour la faire passer pour un clavier aux yeux de l'ordinateur sur laquelle elle est insérée. Ici pas d'alerte de virus, et pas besoin non plus que la victime clique sur un fichier. La clé piégée se met à transmettre des saisies clavier à haute vitesse, ce qui peut permettre de realiser à peu près n'importe quoi sur la machine cible (y compris coder et exécuter des scripts permettant une intrusion).
C'est la Rubber Ducky.

Par conséquent, mon meilleur conseil si vous trouvez une clé inconnue (y compris dans votre boîte aux lettres) : jetez là

Et effectivement, on retrouve cette attaque dans l'excellente série Mr Robot...