C’est l’une des règles de base en matière d’hygiène informatique : lorsque l’on trouve une clé USB, dans la rue ou dans sa boîte aux lettres par exemple, il est préférable de ne pas la brancher sur son ordinateur. Elle peut en effet être contaminée par un logiciel malveillant. Ce n’est pas une menace théorique : début 2017, la police diffusait un message d’alerte pour mettre en garde la population.
C’est justement cette recommandation de prudence qui vient de refaire parler d’elle, à l’occasion de la rencontre historique du 12 juin entre Donald Trump et Kim Jong-un, à Singapour, pour parler de la dénucléarisation de la péninsule coréenne. En effet, les journalistes qui ont assisté à ce sommet ont reçu un sac contenant diverses affaires, dont un mini ventilateur USB.
Offert par les services singapouriens, ce mini-ventilateur USB apparaît comme un « clin d’œil aux températures étouffantes de Singapour », estime Mashable, l’île connaissant « un climat typiquement tropical, avec des précipitations abondantes, des températures élevées et uniformes, et une humidité élevée toute l’année », selon le site météorologique de la cité-État.
Mais plusieurs voix se sont élevées pour recommander de ne pas de servir de cet appareil. Le journaliste Barton Gellman, qui a permis au Washington Post de gagner le Prix Pulitzer en 2014 pour les révélations sur les nombreux programmes de surveillance mis en place par la NSA, a ainsi été limpide sur Twitter : « ne le branchez pas. Ne le gardez pas. Jetez-le dans une poubelle publique ».
« Peut-être que ce ventilateur n’est qu’un ventilateur. C’est un mauvais calcul, cela dit. Je devrais sans doute ajouter : si vous l’avez branché, vous êtes humain. Les auteurs de logiciels malveillants abusent de l’instinct de confiance. Jusqu’à ce que quelqu’un de compétent jette un coup d’œil, je vous recommande d’éteindre votre machine si vous le pouvez et de changer les mots de passe avec un appareil propre », a-t-il ajouté.
Reste à savoir si cette mise en garde sera suivie d’effet. Hélas, on peut craindre que ce gadget, qu’il soit ou non infecté, ait déjà été branché à un port USB. Une étude conduite en 2016 par des universitaires de l’Illinois, du Michigan et des experts de Google a montré que les individus ne prennent pas beaucoup de précautions puisque dans pratiquement un cas sur deux, la clé USB est branchée à un PC.
Dans le cadre de ces travaux, il a été mis en lumière avec quelle facilité il est possible de profiter de la naïveté des gens, ou de leur curiosité. Fort heureusement, ces clés n’étaient pas infectées et n’utilisaient qu’une balise image permettant de dénombrer les requêtes en ligne pour l’afficher. Mais cela aurait pu être plus grave si elles avaient été vérolées.
Dans une enquête post-expérience, les rares répondants à un sondage ont reconnu à une large majorité (68 %) avoir ouvert la clé sans se méfier de ce qu’elle pourrait contenir.
S’exposer le moins possible
Face à une clé USB dont la provenance est incertaine, il vaut mieux ne pas la brancher. S’il faut quand même en vérifier le contenu, il vaut mieux le faire sur un ordinateur isolé, avec un système d’exploitation exécutable sans installation, comme Tails ou Ubuntu, et qui n’est pas connecté à Internet et ne contient aucune donnée personnelle. Et d’avoir un antivirus à proximité, prêt à l’emploi.
Il est aussi possible d’utiliser un boîtier DIY comme CIRClean, qui sert à nettoyer le contenu des clés USB en réalisant une copie saine, avant de les insérer dans un PC de travail.
Dans sa documentation, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) invite le public à « faire attention aux médias USB » car « des clés USB piégées sont parfois offertes ou abandonnées ». Il faut donc « toujours scanner (antivirus) une clé USB avant de l’utiliser ».
Concernant les professionnels en mission, en France ou à l’étranger, la mise en garde est encore plus ferme : « N’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements (salons, réunions, voyages…) : très prisées des attaquants, elles sont susceptibles de contenir des programmes malveillants ».
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !