Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
clé usb : execution de programme malveillant
Bonjour,
On m'a parlé ce weekend d'un meeting sécurité
On aurait démontrer en direct qu'une clé USB formatée sous les yeux de l'auditoire pouvait encore contenir du code malveillant. Ce code se serait executé et aurait provoqué la copie de fichiers sensibles sur le portable (windows xp) d'un membre du publique : une forme d'espionnage industriel
Est-ce vraiment possible ?
Existe-t-il un moyen de contrer cela ?
Merci
Z.
J' ais envie de dire OUI c'est possible, car le formatage ne suprime pas certaines zones d'allocation. Ce n'est pas pareille lorsqu'il y a suppression de partition, et recréation de partition, car la il ne peut plus rien rester, si et seulement si l'opération se passe sur un micro non infecté ??? Mais si une clé infecte un micro aprés formatage ????Envoyé par Zwiter
Bonjour,
On m'a parlé ce weekend d'un meeting sécurité
On aurait démontrer en direct qu'une clé USB formatée sous les yeux de l'auditoire pouvait encore contenir du code malveillant. Ce code se serait executé et aurait provoqué la copie de fichiers sensibles sur le portable (windows xp) d'un membre du publique : une forme d'espionnage industriel
Est-ce vraiment possible ? Existe-t-il un moyen de contrer cela ?
Merci
Z.pour formater la clé USB il a bien fallu la mettre dans le micro
alors le virus il était bien la non ????
Donc cette démonstration n'était pas sérieuse et même met en cause l'intégritée des organisateurs !!
Ca, on le saura jamais !Donc cette démonstration n'était pas sérieuse et même met en cause l'intégritée des organisateurs !!
Donc la question est : comment empecher un tel code de se lancer lors de l'insertion de la clé ?
Z.
Salut,
Il est possible de désactiver l'autorun . D'ailleurs, Kido utilise cette fonctionnalité dans l'un de ses modes de propagation.
FillPCA
Le formatage etait sensé avoir retiré touts les fichiers caché, y compris l'autorun.
De plus, l'autorun est deja désactivé.
Cela est suffisant ?
Non la clé peux avoir été rendue autobootable par le virus, ce qui explique qu'unsimple formatage ne sert a rien
autobootable, dans le sens ou elle aurait été laissée branchée au demarrage de l'ordinateur, et que le bios autorise le boot sur periphérique usb ?
Re,
Je suis d'accord avec toi, mais quand je parle de désactiver l'autorun, c'est en fait désactiver l'exécution automatique quand on insère le média amovible. Pour le problème que tu poses, je trouves cela... étonnant
Fill
Et meme alarmant !
Neanmoins, c'est ainsi que les choses se sont passées. Donc sauf trucage, c'est possible
Re,
Les infections par clé USB sont à la mode. J'ai entendu dire que certains "perdaient" des clés USB infectées. Plus facile d'attaquer un système de l'intérieur que de l'extérieur.
Fill
Bien sur vous ne confondez pas bootable, l'autorun , la table d'allocation,Re,
Je suis d'accord avec toi, mais quand je parle de désactiver l'autorun, c'est en fait désactiver l'exécution automatique quand on insère le média amovible. Pour le problème que tu poses, je trouves cela... étonnant
Fill
la zone systéme vide ou pas.
Ca je le comprends en vous lisant, c'est bien clair,
Alors moi qui suis loin d'étre un savant, je vous réalise un module assembleur de trois octet qui reboote votre micro quand vous introduisez
votre clé usb,
désactivez tout ce que vous voulez, quand vous introduisez votre clé, le systéme l'identifie, vous change l'aspect de votre navigateur etc ...
repensez votre probléme ça peut servir ...
Oui, c'est une clef U3 tout simplement, le boot n'a rien à voir là-dedans. Le problème est connu déjà depuis très très longtemps. Son suivi a été confié à la DCSSI en 2005, si je me rappelle.Bonjour,
On m'a parlé ce weekend d'un meeting sécurité
On aurait démontrer en direct qu'une clé USB formatée sous les yeux de l'auditoire pouvait encore contenir du code malveillant. Ce code se serait executé et aurait provoqué la copie de fichiers sensibles sur le portable (windows xp) d'un membre du publique : une forme d'espionnage industriel
Est-ce vraiment possible ?
[EDIT]
D'ailleurs, voici le rapport mis à jour de la CERTA à ce sujet. (première publication v.1.0.0.0 en novembre 2006).
Merci pour le lien, j'ais été lire l'article, il indique bien la nuance dont je parlais .. du reste je vais souvent lire le cERTA
Bonsoir,
pour la copie des fichiers, ils n'ont réussi qu'a faire un simple "tour de passe-passe" en utilisant un programme écrit en C -de moins de 200 lignes code- appelé USB Dumper (il intercepte l'événement WM_DEVICECHANGE).Bonjour,
On m'a parlé ce weekend d'un meeting sécurité
On aurait démontrer en direct qu'une clé USB formatée sous les yeux de l'auditoire pouvait encore contenir du code malveillant. Ce code se serait executé et aurait provoqué la copie de fichiers sensibles sur le portable (windows xp) d'un membre du publique : une forme d'espionnage industriel
Est-ce vraiment possible ?
Existe-t-il un moyen de contrer cela ?
Merci
Z.
Mais il n'y a pas que cette technique d'attaque, ils en existent d'autre comme l'attaque USB Switchblade, ou encore "Max Damage".
note: l'ordinateur comportait-il un antivirus ? si "oui", lequel ?
Les pièges de l'Internet
"La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
"Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton
Ah oui je penses comme toi, lequel, qu'on ne le prenne pasMais il n'y a pas que cette technique d'attaque, ils en existent d'autre comme l'attaque USB Switchblade, ou encore "Max Damage".
note: l'ordinateur comportait-il un antivirus ? si "oui", lequel ?
Aucune idée, mais il y en avait surement un. C'etait sur le portable d'un dirigeant d'une grosse boite donc il doit y avoir un service informatique (competent ?).
Il me semble que la tendance actuelle est à la désactivation de l'autorun, justement pour éviter ce genre de soucis. J'ai vu passer 2-3 clés infectés, l'AV de ma boite (Sophos) a réagi de suite.
Répondre avec citation
Partager