Les clés USB, ces mémoires flash contenues dans de petits objets très faciles à emporter, sont utilisées de façon de plus en plus courante pour transporter ou sauvegarder des données plus ou moins précieuses. Mais, outre le fait qu’elles peuvent s’égarer ou se faire voler très facilement, ces petits accessoires fabriqués à des millions d’exemplaires peuvent devenir de redoutables vecteurs de contagion virale.

La clé USB fait partie de la panoplie de tout salarié qui travaille régulièrement sur ordinateur mais elle sert également à s’échanger des photos au sein de la famille ou à transférer des fichiers volumineux lorsque la connexion Internet a un débit insuffisant. Bref, c’est un véhicule d’information pratique, facile à utiliser, dont la capacité croit – en doublant – régulièrement. On trouve aujourd’hui des capacités de mémoire de 64 Go pour moins de 50 euros et le mouvement n’est pas prêt de s’arrêter puisque les progrès réalisés sur les composants de base – les cellules NOR et NAND, la seconde technologie étant privilégiée pour les clés – sont continus, notamment sous la pression de la demande en mémoire de forte capacité pour les « disques SSD ». Comment cela fonctionne-t-il : la mémoire flash est une EEPROM (Electrically-erasable programmable read-only memory) soit une mémoire en lecture seule, programmable et effaçable électriquement dont la capacité de stockage peut être modifiée en une seule opération. Cette puce est associée à un micro-contrôleur qui gère l’échange des données transitant par un connecteur Universal Serial Bus (USB). Généralement, la clé est dotée d’un voyant lumineux qui témoigne de sa mise sous tension électrique et signale le transit des informations. Elle peut aussi être munie d »un verrou qui protège contre un effacement intempestif. L’usage le plus fréquent de la clé USB est l’enregistrement de fichiers à transmettre d’un PC à un autre ou la sauvegarde d’information, mais il est aussi possible de transporter un environnement de travail basique mais complet, sous forme de distribution linux associée à une suite bureautique.

Un grave manque de sécurité

Fin 2011, dans une étude sur la sécurité des clés USB commanditée par Kingston, un important fabricant de mémoire flash, l’institut Ponemon faisait un constat plutôt alarmant dont rien ne dit qu’il n’est plus valable à l’heure actuelle. Les enquêteurs relevaient en effet que près des deux tiers des entreprises européennes interrogées avaient déjà subi des pertes de données suite à l’égarement ou au vol de clés USB qui n’étaient généralement jamais sécurisées. Il est clair que beaucoup d’entreprises et encore plus de particuliers, salariés ou non, ignorent totalement les risques encourus à cause du non cryptage des informations contenues dans les mémoires flash nomades. Très peu de sociétés ont pris la précaution de mettre en place une procédure de mise en garde lors de copie de fichier d’un PC vers une clé, ni imposé des produits gérant le chiffrement et/ou le contrôle d’accès des données par mot de passe. Il existe pourtant des clés USB qui incorporent ces types de protection mais ce sont évidemment des objets un peu plus onéreux que ceux plus ordinaires. Il est clair qu’une entreprise qui autorise ses salariés à travailler à distance dans certaines parties de son système informatique par le biais d’un réseau privé virtuel (VPN), ou tout autre mode de contrôle d’accès, peut facilement éliminer le risque de vol de données à condition de strictement interdire l’usage des clés USB ou d’imposer un modèle dûment référencé et contrôlé. L’usage du cloud privé d’entreprise va également dans le même sens surtout s’il propose de travailler sur des applications hébergées qui ne nécessitent pas d’importer les fichiers sur le terminal connecté.

Une autre menace plaide pour l’interdiction ou l’usage très limité de la clé USB dans l’entreprise : la propagation de virus et de maliciels. Plusieurs affaires récentes d’infection grave ou de vol d’informations effectués par le biais d’agents logiciels introduits dans les systèmes d’information ont porté la suspicion des enquêteurs sur des clés USB malencontreusement utilisées sans précaution. Une étude de Microsoft effectuée en 2011 sur 600 millions de systèmes informatiques petits et gros révélait que 26% des infections du système d’exploitation Windows avaient été propagées par une clé USB dans laquelle était installée la fonction autorun. Dans ces cas là, il est évident que la protection de base d’un réseau informatique doit comporter des procédures de contrôle et des logiciels de sécurité sur chaque poste de travail à même de détecter toute infection. Les entreprises à haut risque peuvent aussi faire le choix de proscrire totalement ou de limiter drastiquement le nombre de ports USB sur les machines constituant leur parc informatique.

Quelles solutions de protection?

Au delà du bannissement pur et simple des clés USB, il existe quelques précautions pour contrer les vols de données et les infections par logiciels malveillants: le cryptage systématique des fichiers et le scannage des contenus par une suite de sécurité à jour lors du branchement de la clé sur un port USB. Des logiciels comme FreeOTFE ou Truecrypt assurent un chiffrement automatique des données de même que les versions Entreprise et Ultimate Edition de Windows 7 ou de Windows Server 2008. Des fonctions similaires sont proposées sur Mac OS X depuis la version Panther. L’usage de solutions logicielles comme USBCrypt ou USB Secure peuvent également convenir pour assurer la protection des données enregistrées sur les clés et faciliter le contrôle de ces dernières dans le cadre d’une entreprise. Certaines clés USB haut de gamme incorporent aussi des systèmes de chiffrement “en dur” sous la forme d’une puce dédiée commandée par un petit pavé numérique solidaire de l’objet. Elles embarquent aussi des fonctions d’effacement en cas de saisies répétées d’un code erroné.

Finalement, comme pour toute procédure de sécurité, il est nécessaire d’établir quelques règles et bonnes pratiques qu’il conviendra d’observer scrupuleusement :

Equiper les salariés de l’entreprise avec des clés USB de qualité,

édicter une politique d’usage et prodiguer des conseils sur ce qu’il faut faire et ne pas faire avec une clé USB,

prendre garde que les employés habilités à accéder à des données sensibles utilisent bien des clés USB sécurisées,

vérifier la fiabilité, la conformité avec les règles de sécurité de l’entreprise et l’absence de tout code malicieux au moment de l’acquisition des clés USB,

déployer une solution de chiffrement pour les données copiées sur clé USB,

gérer et suivre les mouvements des clés de la même manière que le sont les PCs portables et les smartphones de l’entreprise,

faire un scan de contrôle systématique au branchement pour détecter virus et maliciels,

imposer l’usage du mot de passe et du verrouillage,

imposer le chiffrement des données enregistrées sur USB,

mettre en place une procédure de recherche des clés égarées.