Kub Cleaner, la station de nettoyage des clés USB

Les clés USB constituent un vecteur de compromission désormais bien identifié. Pour autant, nombreux sont les cas où leur utilisation est nécessaire, ne serait-ce que pour appliquer des mises à jour à certains systèmes. Kub Cleaner vise donc à répondre à cette problématique : permettre l’utilisation de clés USB dans son environnement, en réduisant le risque d’infection par maliciel autant que possible.

Sur le Forum International de la Cybersécurité (FIC), Christophe Bourel, Pdg de Kub, explique la solution repose sur un Intel Nuc intégré dans une borne durcie pour empêcher toute altération physique – des vis propriétaires sont utilisées. C’est tout juste si une trappe est présente pour permettre aux clients de Kub Cleaner de remplacer la rallonge apporte le port USB accessible de l’extérieur pour l’analyse des clés, en cas de dommage.

Sur le plan logiciel, Kub Cleaner se repose sur un fork de Debian développé en interne. L’intégrité du système d’exploitation est vérifiée à chaque démarrage. Le disque dur est chiffré intégralement. Deux moteurs d’analyse antivirus sont intégrés par défaut, mais les clients peuvent aller jusqu’à cinq – ceux de Sophos, Eset, F-Secure, et Kaspersky sont proposés aux côtés de ClamAV. Bitdefender et Comodo sont prévus prochainement. Des travaux sont en cours pour aller au-delà de la détection par signatures.

Le concept est donc simple : le collaborateur connecte sa clé USB – FAT, FAT32, TFS, Ext3 ou Ext4 – et celle-ci est examinée automatiquement. En cas de maliciel détecté, un nettoyage peut être demandé. Il n’y a pas de mise en quarantaine de fichiers. Mais la clé en question ne pourra pas être utilisée sur un poste de travail de l’organisation où la solution aura été pleinement déployée : un agent résidant (à partir de Windows XP SP2) se charge du contrôle des clés en lisant un fichier de bilan d’analyse chiffré déposé par Kub Cleaner, et empêche l’accès à celles qui ont été identifiées comme infectées. Ce fichier bilan dispose d’une durée de vie limitée, définissable par l’entreprise cliente.

Mieux encore, Kub Cleaner permet d’éviter la connexion de la clé USB – même nettoyée – à une machine dans l’environnement : son contenu sain peut être transféré à un partage réseau interne.

Jolie découverte sur #FIC2018 la station de @KubCleaner de nettoyage de clés USB avant entrée dans l'entreprise... Un produit à la conception très bien pensée. Plus à venir sur @LeMagIT pic.twitter.com/4gtiTPnK70

— Valery Marchive (@ValeryMarchive) January 24, 2018

Une console d’administration permet d’assurer le contrôle et la configuration à distance des bornes – connectées en Ethernet ou via un routeur 4G. Elle permet également de produire des fichiers de configuration et de mise à jour pour les bornes fonctionnant en mode déconnecté. Ces fichiers sont chiffrés et exclusifs à une borne ; elle les identifie immédiatement à l’insertion d’une clé USB les embarquant.

Mieux encore, la console conserve un journal d’activité de chaque borne. Cet historique est exportable en syslog et peut être intégré à système de gestion des informations et des événements de sécurité (SIEM). Kub accompagne les entreprises dans cet effort d’intégration, dans le cadre de sa prestation de support standard.

Christophe Bourel explique que le Kub Cleaner n’est pas en mesure de détecter les clés destructrices de type USB Kill, mais les nouveaux Nuc d’Intel y sont résistants. Toutefois, en cas de dommage physique à Kub Cleaner, la politique est simple : il est remplacé gracieusement, à J+5 selon les conditions contractuelles de base. Et généralement, « les clients ont toujours un exemplaire de remplacement » pour répondre à l’urgence.

La certification CSPN du Kub Cleaner par l’Anssi est en cours. L’agence a déjà émis des réserves sur la rallonge USB. C’est aussi elle qui, pour l’heure, demande qu’il n’y ait pas deux ports USB actifs en même temps pour éviter les copies de fichiers intempestives. Il y aura donc un Kub USB-A et un Kub USB-C. La problématique est la même pour cartes SD.

Christophe Bourel explique que Kub Cleaner est déjà vendu à à des opérateurs d’infrastructures vitales (OIV) et d’industriels. Et de citer l’exemple de Schneider Electrics qui l’a personnalisé à ses couleurs. Mais de nombreuses évolutions sont en cours de développement, et en particulier l’intégration d’un lecteur de badges RFID pour ajouter à l’identification de la borne dans les logs, celle de l’utilisateur.