logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 17-12-2022 20:02:34

totoZero7
Membre
Distrib. : Debian 11.6 Bullseye
Noyau : 5.10.0-21-amd64
(G)UI : Mate 1.24.1
Inscription : 05-07-2020

Comment se sécuriser d'une clé usb étrangère

Bonjour,
(j'ai grave galéré à trouver un bon titre pour exprimer ce qui suit)


Pour aller directement à la problématique, voici un exemple simple:
Votre pote, votre contact, votre client ou autre, doit vous donner des documents numériques par le biais d'une clé usb et vous devez la brancher sur votre ordi personnelle.

Question:
Comment faire pour sécuriser son pc afin de bloquer toute malveillance potentielle de cette clé étrangère (un truc qui s'exécuterait dès qu'on connecte la clé au pc par exemple) ?.



J'ai en mémoire que c'était super facile de mettre un exécutable sur une clé usb avec windows, dès que la clé se connectait.
J'avais entendu parler d'un boîtier qui faisait tampon afin de vérifier cela mais je ne retrouve plus le lien. (je galère à trouver des infos tout court sur le sujet)

Quant est-il avec Linux ?
Une clé malveillante peut elle, une fois branchée au pc, balancer un script sans avoir cliquer sur quoi que ce soit ?
Si oui, comment s'en prémunir ?

Pour aller plus loin:
Quelles sont les extensions potentiellement nuisibles à connaître si on clique dessus ?

Est-ce qu'il est possible d'avoir un fichier avec une fausse extension (un fichier affiché comme document.pdf alors qu'en réalité c'est un document.sh par exemple) et qu'un script malveillant se mette en fonction ?
Si oui, comment s'en prémunir ?


à vous les pirates.

Dernière modification par totoZero7 (17-12-2022 20:03:24)

Hors ligne

#2 17-12-2022 22:43:18

raleur
Membre
Inscription : 03-10-2014

Re : Comment se sécuriser d'une clé usb étrangère

totoZero7 a écrit :

Comment faire pour sécuriser son pc afin de bloquer toute malveillance potentielle de cette clé étrangère (un truc qui s'exécuterait dès qu'on connecte la clé au pc par exemple) ?.


Utiliser une machine "jetable" sans support de stockage en écriture, sans connexion réseau (ethernet débrancé, wifi désactivé dans le BIOS).
Démarrer avec un système live depuis un support en lecture seule (disque optique ou clé USB avec un commutateur de protection contre l'écriture - pas une carte SD dont le verrou n'est qu'un indicateur qui peut être ignoré).
Ne pas lancer d'interface graphique qui monte automatiquement les volumes amovibles.
Brancher la clé USB. Examiner les logs du noyau, la sortie de lsusb. Si rien d'anormal ne se produit, monter le volume en ligne de commande.
En utilisateur non privilégié, passer les fichiers au détecteur de malware, vérifier avec file que le type de contenu correspond à l'extension.
Après utilisation, incinérer ou broyer le tout, ou l'offrir à son pire ennemi.

totoZero7 a écrit :

Une clé malveillante peut elle, une fois branchée au pc, balancer un script sans avoir cliquer sur quoi que ce soit ?


Un périphérique USB malveillant ayant l'apparence d'une clé USB peut se faire passer pour n'importe quel périphérique, notamment
- se faire passer pour un clavier et simuler des frappes arbitraires
- se faire passer pour un périphérique géré par un pilote affecté par une faille de sécurité afin de l'exploiter.

S'il s'agit d'un support de stockage normal, il existe encore divers vecteurs d'attaque, comme
- un système de fichiers malformé exploitant une faille de sécurité du pilote correspondant
- un fichier malformé exploitant une faille de sécurité du logiciel utilisé pour le lire.

totoZero7 a écrit :

Quelles sont les extensions potentiellement nuisibles à connaître si on clique dessus ?


Plus que l'extension, c'est le type de contenu dont il faut se méfier. Tout ce qui est exécutable évidemment (script ou binaire).

totoZero7 a écrit :

Est-ce qu'il est possible d'avoir un fichier avec une fausse extension (un fichier affiché comme document.pdf alors qu'en réalité c'est un document.sh par exemple) et qu'un script malveillant se mette en fonction ?


Ça dépend comment le gestionnaire de fichiers sélectionne le programme qu'il lance pour ouvrir le fichier. S'il se base sur l'extension, ça dépend comment réagit le programme en question quand on lui fait ouvrir un fichier d'un autre type. S'il se base sur le contenu, alors un script ou binaire qui aurait une extension anodine pourrait être exécuté. Donc vérifier le type réel comme indiqué plus haut.


Il vaut mieux montrer que raconter.

Hors ligne

#3 18-12-2022 09:47:14

totoZero7
Membre
Distrib. : Debian 11.6 Bullseye
Noyau : 5.10.0-21-amd64
(G)UI : Mate 1.24.1
Inscription : 05-07-2020

Re : Comment se sécuriser d'une clé usb étrangère

Moi qui pensais trouver une solution simple... piouf. Je suis encore parti sur un sujet qui va prendre des mois avant d'arriver à mettre cela en place, si j'y arrive.
Je vais être un peu maladroit dans mes questions, mais c'est pour affiner ma vision de ce sujet.


passer les fichiers au détecteur de malware

As-tu une référence de détecteur de malware à donner ?

Démarrer avec un système live depuis un support en lecture seule

Un live Debian ou Tails a t'il une difference dans ce cas de figure ? Tails utilise uniquement la ram et l'efface ensuite. Je ne sais pas pour Debian live.

Utiliser une machine "jetable" sans support de stockage en écriture

Si il y en a tout de même un, est-ce que Tails le protège vu qu'il n'utilise que la ram ?



Pourquoi "jeter" la machine si toutes les précautions ont été prises ?
Quels dommages potentielles peuvent-il arriver à la machine dans ces conditions ?

Hors ligne

#4 18-12-2022 10:25:56

raleur
Membre
Inscription : 03-10-2014

Re : Comment se sécuriser d'une clé usb étrangère

totoZero7 a écrit :

As-tu une référence de détecteur de malware à donner ?


Non, je n'en utilise pas. Je suppose que clamav ou n'importe quel scanneur de virus peut faire l'affaire.

totoZero7 a écrit :

Un live Debian ou Tails a t'il une difference dans ce cas de figure ?


Non, aucune.

totoZero7 a écrit :

Tails utilise uniquement la ram


Si une saleté arrive à s'infilter, Tails fera ce qu'on lui dit, comme les autres.

totoZero7 a écrit :

Pourquoi "jeter" la machine si toutes les précautions ont été prises ?


Parce que j'aime bien dramatiser et exagérer les risques. Ayez peur, TRÈS peur !

totoZero7 a écrit :

Quels dommages potentielles peuvent-il arriver à la machine dans ces conditions ?


Compromission du BIOS ou du firmware persistant de n'importe quel composant.


Il vaut mieux montrer que raconter.

Hors ligne

#5 19-12-2022 09:09:58

totoZero7
Membre
Distrib. : Debian 11.6 Bullseye
Noyau : 5.10.0-21-amd64
(G)UI : Mate 1.24.1
Inscription : 05-07-2020

Re : Comment se sécuriser d'une clé usb étrangère

Dans ma tête, je m'étais imaginé avoir un petit boîtier qui analyserait les clés USB et qui me dirait si oui ou non elle est dangereuse pour le PC.
Je pensais sécuriser le pc contre des malwares "gentils" pas aussi sophistiqués qui peuvent nuire à ce point.
J'ai certainement dû voir ça dans un film en fait... me rappelle plus.

Ça fait quand même grave flipper de savoir ça étant donné que tout va se jouer avec ce genre de support à l'avenir.


De ce que j’interprète, une clé USB peut jouer sur plusieurs vecteurs et aussi corrompre le matériel. Soit.
Je pose quand même ma question idiote, serait-il possible qu'une simple analyse de cette clé USB, faite dans un boîtier avec dedans un algorithme fait par un 1er de la classe, puisse donner l'indication de façon assez fiable si la clé est safe ou pas ? Voire aussi, que le problème (le script dangereux) serait mis en quarantaine ou désactivé voire détruit ?

Quitte à casser quelque chose, autant que ce soit ce boîtier qui fasse tampon.



Connais-tu de la bonne lecture, disponible sur le web, qui traite de ce sujet ?
Est-ce que mon sujet est tellement paranoïaque que je dois aller consulter ?

Hors ligne

#6 19-12-2022 11:20:31

raleur
Membre
Inscription : 03-10-2014

Re : Comment se sécuriser d'une clé usb étrangère

La plupart des risques que j'évoque sont très improbables, à l'exception des fichiers infectés ou des scripts/exécutables déguisés.
Je n'ai pas de lecture à proposer, le sujet ne m'intéresse pas assez sérieusement.

Il vaut mieux montrer que raconter.

Hors ligne

#7 19-12-2022 11:28:31

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Comment se sécuriser d'une clé usb étrangère

totoZero7 a écrit :

Pour aller directement à la problématique, voici un exemple simple:
Votre pote, votre contact, votre client ou autre, doit vous donner des documents numériques par le biais d'une clé usb et vous devez la brancher sur votre ordi personnelle.

Question:
Comment faire pour sécuriser son pc afin de bloquer toute malveillance potentielle de cette clé étrangère (un truc qui s'exécuterait dès qu'on connecte la clé au pc par exemple) ?.



Je ne pense pas que mon approche va te plaire, mais elle ne m’a jamais fait défaut : je refuse.

Si une personne souhaite vraiment me faire passer des fichiers par l’intermédiaire d’une clé USB, elle doit utiliser une clé que je lui fournis et y copier les fichiers sous mes yeux.

---

totoZero7 a écrit :

Ça fait quand même grave flipper de savoir ça étant donné que tout va se jouer avec ce genre de support à l'avenir.



Pas tant que ça, les clés USB sont déjà un machin du passé.
Maintenant les transferts de fichiers passent par les services en ligne de Google/Microsoft/etc.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#8 19-12-2022 15:22:00

infothema
CA Debian-Facile
Lieu : Bégard (Côtes d'Armor)
Distrib. : Almalinux 9 - Fedora 38
(G)UI : GNOME
Inscription : 28-01-2012
Site Web

Re : Comment se sécuriser d'une clé usb étrangère

Salut totoZero7,

Le problème ne vient pas de la clé USB mais des mauvaises rencontres que tu peux faire dans la vie. Si un utilisateur te prépare une clé rubber ducky alors oui tu as un vrai problème de sécurité.

La règle parfaite serait de fonctionner en vase clos mais parfois on est contraint de s'en éloigner.

https://www.commentcamarche.net/securit … ersion-3-0

https://shop.hak5.org/products/usb-rubber-ducky

https://www.amazon.fr/usb-rubber-ducky/ … bber+ducky

Association libriste infothema  située dans les Côtes d'Armor (Bretagne)
Blog : https://www.infothema.fr / Forum : https://www.infothema.fr/forum
Twitter : https://twitter.com/asso_infothema / Compte Mastodon : https://framapiaf.org/@infothema / PeerTube : https://infothema.net

Hors ligne

Pied de page des forums