12.01.2023 - Les clés USB font partie du paysage informatique depuis longtemps et sont utilisées pour stocker des données ou les transférer d'un ordinateur à un autre. De nombreuses personnes ignorent toutefois que ces clés peuvent également servir d'outil de piratage.
À première vue, une clé USB malveillante ressemble à un lecteur flash USB des plus normal et insignifiant. Toutefois, lorsqu'elle est branchée à un ordinateur, cette clé est capable de simuler l'action d'un clavier. Elle va alors générer des frappes prédéfinies qui peuvent injecter des commandes malveillantes sur l'ordinateur. Les clés USB de piratage, que l'on appelle «Rubber Duckies», arrivent à produire plus de 1000 mots par minute. Elles permettent ainsi d'installer des portes dérobées dans le système attaqué, de voler des documents ou des mots de passe, ou encore d'établir des droits étendus sur l'ordinateur.
Rubber Ducky – un petit canard loin d'être inoffensif
Si le terme «Rubber Ducky», ou «canard en plastique» en français, fait d'abord penser au jouet pour enfants, il évoque tout autre chose dans le monde des cyberattaques: cette clé USB malveillante est un outil de piratage très apprécié.
Issu de l'histoire de la programmation, le «rubber ducking» est tiré d'une méthode de revue de code qui consiste à lire ce dernier ligne par ligne à un canard en plastique jaune. Le fait d'expliquer le code à voix haute permet aux programmeurs de repérer les éventuelles erreurs. L'avantage du canard en plastique est d'être un auditeur que l'on ne peut jamais déranger. Dans le cas des Rubber Duckies, le code prédéfini est également traité ligne par ligne. Ces clés USB malveillantes fonctionnent sur la base d'un outil capable d'imiter la saisie de commandes sur un clavier. Initialement développé dans le but d'automatiser les tâches d'administration, cet outil permet à l'appareil de générer des commandes récurrentes et de les exécuter ligne par ligne. Il est à l'origine de l'attaque par injection de frappes clavier (Keystroke-Injection-Attack), qui consiste à introduire furtivement des commandes sur un ordinateur en utilisant une clé USB. Cette méthode s'est développée au fil du temps pour devenir aujourd'hui un outil de piratage sophistiqué.
Comment fonctionne une attaque par injection de frappes clavier?
En simulant l'action d'un clavier, l'outil UBS parvient à gagner la confiance de l'ordinateur et dispose ainsi des mêmes droits d'utilisateur que la victime assise devant son appareil. Le code qui sera saisi par le clavier, ou les commandes qu'il effectuera, sont préalablement enregistrés sur l'outil Rubber Ducky avec le langage de script «Ducky Script». Une fois branchée à l'ordinateur, la clé est reconnue comme un clavier et peut exécuter les commandes préprogrammées.
Attention aux clés USB trouvées ou offertes
Pour pousser leurs victimes à insérer une clé USB malveillante dans leur ordinateur, les pirates ont recours à l'ingénierie sociale, une pratique de manipulation qui consiste à exploiter des sentiments tels que la confiance, la peur, la curiosité ou le respect de l'autorité à des fins d'escroquerie. Le baiting, ou «appâtage» en français, est un type d'ingénierie sociale dans laquelle les pirates exploitent la curiosité des victimes. La forme de baiting la plus connue consiste à placer des clés USB malveillantes dans le hall d'entrée d'une entreprise et à miser sur le fait que les collaborateurs les trouvent et les branchent à un appareil de l'entreprise par curiosité. Les Rubber Duckies peuvent également être distribués sous le couvert de cadeaux publicitaires, notamment lors de conférences ou d'expositions, où les visiteurs reçoivent souvent de nombreux types de périphériques USB. Un ordinateur portable laissé sans surveillance, par exemple dans un train ou lors d'une conférence, peut également être compromis par cette méthode si le pirate parvient à connecter la clé à l'appareil un court instant sans être remarqué.
Une nouvelle version encore plus sophistiquée
En août 2022, un fabricant de matériel de piratage a présenté une nouvelle version du Rubber Ducky. Si les précédentes versions de l'outil permettaient déjà de lancer de fausses fenêtres pop-up pour récupérer les données de connexion de l'utilisateur et d'obliger le navigateur à envoyer tous les mots de passe enregistrés au serveur Web pirate, la dernière version offre dorénavant la possibilité de renvoyer les données volées directement sur le périphérique USB. Il suffit donc au pirate de brancher la clé quelques secondes à l'ordinateur pour la retirer ensuite avec toutes les données enregistrées, et ce, même sans connexion Internet.
Conseils:
- Ne branchez jamais de périphériques USB inconnus à votre ordinateur.
- Ne laissez jamais votre ordinateur sans surveillance dans des lieux publics.
Dernière modification 12.01.2023
