Oui, beaucoup ramassent des clés USB trouvées n’importe où

Le piège imaginé par les scénaristes de Mr Robot pourrait tout à fait fonctionner. C’est le principal enseignement d’une étude conduite par Elie Bursztein, chercheur chez Google, sur le campus de l’université de l’Illinois.  Il y a « abandonné » près de 300 clés USB, piégées par un logiciel chargé de d’informer un serveur de leur ouverture et d’inviter les utilisateurs concernés à répondre à un sondage. Certaines clés étaient neutres, d’autres étiquetées comme contenant les questions d’un examen, et un troisième lot, comme s’il s’agissait de données confidentielles. Les clés ont été déposées dans des salles de cours, des espaces communs, des lieux de passage, ou encore des parkings.

L’expérience a potentiellement été faussée par la découverte rapide de la supercherie par un étudiant qui s’en est ému sur Reddit. Mais 46 % des clés USB ont toutefois été connectées à un ordinateur – environ la moitié de celles qui ont été récupérées par des personnes de passage. Une clé sur cinq a été rendue, et 21 % des individus concernés ont accepté de répondre au sondage.

Parmi les sondés, 68 % ont assuré avoir connecté la clé USB pour y trouver les informations nécessaires à sa restitution ; 18 % par curiosité. Le taux d’ouverture des clés dotées d’une étiquette tant à confirmer ces dires : il n’a été que de 29 %, contre 53 % pour les clés neutres, 50 % pour celles prétendument relatives aux examens, et autant pour celles étiquetées confidentiel.

Reste ceux qui ont ouvert les clés ramassées n’ont pas attendu bien longtemps pour explorer leur contenu : 40 % de ces clés ont été parcourues moins de 5h après leur dépôt. Le taux d’ouverture atteint 60 % après 10h, reste stable environ 15h de plus, et plafonne à 80 % au bout de 35h. Et ce sont les clés abandonnées sur des parkings qui ont rencontré le plus de succès, avec 53 % de taux d’ouverture.

Présentant le résultat de ses recherches à l’occasion de la conférence Black Hat, Elie Bursztein a également détaillé les étapes de création de clés USB considérablement plus dangereuses. Une opération délicate, mais réalisable. Et pour lui, les protections classiques du poste de travail ne sont là d’aucune utilité : les politiques internes et la sensibilisation peuvent seules protéger les entreprises contre cette menace. Et cela commence par le blocage physique des ports USB « sur les ordinateurs sensibles ».