Some USB sticks with warning signs hovering above them and several trash bin icons around.
Agence web » Actualités du digital » Pourquoi je ne brancherai plus jamais une plongée USB aléatoire – et tu ne devrais pas non plus

Pourquoi je ne brancherai plus jamais une plongée USB aléatoire – et tu ne devrais pas non plus

ParTremplin Numérique Publié le

J'ai toujours été du genre à brancher nonchalamment les lecteurs flash qui traînent pour vérifier ce qui y a sans avoir de seconde pensée. Cela a changé le jour où j'ai regardé un bâton USB détruire une poignée d'appareils comme si ce n'était rien. Je n'ai pas été témoin de cela en personne, mais ce que j'ai vu était assez réel pour me secouer. Depuis lors, je n'ai pas traité les lecteurs USB de la même manière.

Voici ce qui s'est passé et pourquoi je pense maintenant à deux fois (et généralement une troisième fois) avant de brancher quoi que ce soit.

Le jour où j'ai appris qu'un lecteur USB pourrait tuer votre ordinateur

Grâce à la nature de mon travail, vous me surprenez souvent à regarder des vidéos technologiques aléatoires sur YouTube. Un jour, je suis tombé sur une vidéo d'Austin Evans qui m'a fait du recul physique. Il présentait un appareil appelé USB Killer, et cela ressemblait à n'importe quelle autre lecteur flash USB, sans suspect à la surface.

Mais là où il devient intéressant, c'est qu'à l'intérieur de cette coquille innocente se trouvent des condensateurs conçus pour tirer l'énergie de votre appareil, puis le rejeter violemment dans le port. Cet éclatement de puissance est souvent suffisant pour faire frire le matériel interne instantanément.

La vidéo a montré des ordinateurs portables, des smartphones, un Nintendo Switch Lite et même une PS5 qui se détruit complètement, parfois avec des clics ou des fissures audibles au fur et à mesure que les composants ont distribué. Le nouveau modèle USB Kill V4 était encore plus puissant. Il pourrait être déclenché manuellement et était capable de détruire les appareils même s'ils étaient désactivés, tant qu'ils avaient des batteries internes ou une puissance de secours.

Inutile de dire que j'ai été secoué.

En rapport

Ne paniquez pas, mais tous les appareils USB ont un problème de sécurité massif

Les appareils USB sont apparemment plus dangereux que nous ne l'avons jamais imaginé.

Par curiosité (et un peu de paranoïa), j'ai vérifié le site Web du fabricant, Usbkill. C'est à ce moment-là que cela est devenu encore plus inquiétant: ces choses sont totalement légales à acheter et choquantes à commander en ligne. Vous n'avez besoin d'aucune licence spéciale, de travail en cybersécurité ni de prouver des qualifications techniques. Vous pouvez simplement cliquer sur « Acheter maintenant » et il est expédié à votre porte. Il n'y a absolument aucune restriction.

Leur kit le moins cher, au moment de la rédaction, coûte environ 79 $. Ils sont commercialisés en tant que « outils de test » pour le durcissement des appareils et la protection des surtensions. Fait intéressant, la société affirme que plus de 95% des appareils échouent à leurs tests de surtension USB.

Bien qu'il y ait des avertissements selon lesquels le bâton de tueur « devrait être traité avec des précautions appropriées, » ce n'est guère dissuasif. Rien n'empêche quelqu'un d'en utiliser un pour le sabotage. En fait, il y a eu des cas d'abus réels. En 2019, un étudiant d'Albany a utilisé un bâton USB pour détruire 66 ordinateurs, moniteurs et podiums dans son ancien collège. Il a plaidé coupable, a purgé un an de prison et a été condamné à payer plus de 58 000 $ en dommages-intérêts.

Cette histoire est restée avec moi. L'accessibilité de quelque chose d'aussi destructeur m'a fait repenser à quel point la confiance aveugle que j'ai placée dans les clés USB.

En rapport

Badusb: la cyber-menace qui vous amène à le brancher

Une récente vague de cyberattaques basées sur l'USB a frappé des organisations aux États-Unis.

Aucun antivirus ne peut vous sauver

Une autre pensée qui m'a frappé fort était: « Aucun antivirus (peu importe le prix, l'agressivité ou le bord de pointe) sur Terre n'aurait pu arrêter cela.« Nous sommes tellement habitués à penser en termes de menaces logicielles comme les virus, les logiciels malveillants et les ransomwares qui, naturellement, nos défenses se concentrent sur le code. Mais un bâton USB Kill ne joue pas directement à ce jeu. Des batteries, comme l'USBKILL V4.

Comme le montre la vidéo, certains appareils, comme les produits Apple et le Samsung Z Flip 3, ont montré une meilleure résilience matérielle. Mais cela était dû à la conception physique, pas à un logiciel.

En rapport

L'antivirus Windows tiers en vaut-il la peine en 2025?

Le défenseur Windows a-t-il rendu l'antivirus concurrent obsolète?

Toutes les menaces USB ne sont pas des bâtons de destruction

Après avoir regardé une trop de vidéos d'appareils zappés dans l'oubli, j'ai commencé à rechercher d'autres menaces basées sur l'USB, et Wow, le trou de lapin va en profondeur. Il y a un buffet entier de dispositifs USB malveillants, et tous ne optent pas pour l'approche spectaculaire « Fry-Your-Motherboard ». Certains sont plus sournois.

Prenez un canard en caoutchouc USB, par exemple. Il ressemble à des lecteurs flash réguliers, mais c'est en fait un outil d'injection de clés programmable. Au moment où vous en branchez-en un, il commence à tirer des commandes comme un pirate invisible sur votre clavier, à ouvrir des terminaux, à télécharger des logiciels malveillants et à créer de nouveaux utilisateurs. Et tout se passe en quelques secondes. Il ne s'appuie pas sur les vulnérabilités logicielles. Il prétend simplement être un clavier, auquel la plupart des ordinateurs font confiance par défaut.

Ensuite, il y a des appareils comme Bash Bunnies et des câbles O.MG. Ce sont des outils USB qui brouillent la ligne entre l'équipement de test de pénétration et les jouets de pirate. Ceux-ci peuvent créer de faux adaptateurs de réseau, exfiltrater des données ou configurer des délais sans que vous ne le remarquiez jamais.

Alors oui, le bâton USB Kill est peut-être le plus dramatique, mais c'est loin d'être la seule menace qui se cache à la vue.

Vous pouvez vous protéger avec cette liste de contrôle personnelle de sécurité USB personnelle

Après avoir appris tout cela, j'ai dû repenser mes habitudes quotidiennes. Je ne voulais pas vivre dans la peur, mais je ne voulais certainement pas être insouciant non plus. J'ai donc trouvé une liste de contrôle de sécurité USB simple et à faible paranoïa que je suis maintenant religieusement:

  • Ne branchez pas les lecteurs USB aléatoires: Celui-ci est évident, mais c'est aussi le plus facile à ignorer. Si je trouve un lecteur flash sur le sol ou dans un tiroir et que je ne sais pas d'où il vient, il ne va nulle part près de mon ordinateur portable.
  • Étiquetez vos lecteurs USB: J'utilise du ruban adhésif de masquage et un marqueur pour étiqueter le mien. De cette façon, je ne confond pas un lecteur aléatoire pour l'un des miens. Cela semble petit, mais cela empêche beaucoup de doute.
  • Utilisez uniquement des chargeurs et des câbles de confiance: Même les câbles de charge peuvent être armés (vous devriez vraiment rechercher des câbles O.MG – ils sont terrifiants). Je m'en tiens à ceux que j'ai achetés ou reçus de marques réputées.
  • Désactiver Autorun pour les appareils USB: Cela aide à empêcher les périphériques Rogue d'exécuter automatiquement le code lorsqu'il est branché.
  • Utilisez des bloqueurs de données USB lorsque vous facturez le public: Ces petits adaptateurs (parfois appelés «préservatifs USB») laissent passer le pouvoir mais bloquent les connexions de données, ce qui est parfait pour les bornes de recharge publics.
  • Gardez les sauvegardes: Parce que même avec des précautions, des accidents (et des attaquants très déterminés) se produisent.

Faire confiance à un port USB ressemble maintenant à faire confiance à un étranger avec vos clés de maison. Je préfère être paranoïaque qu'halléaire.

En rapport

Pourquoi votre câble de charge de téléphone a besoin d'un préservatif USB

Non, ce n'est pas une blague. Oui, nous sommes sérieux. Vous devez envelopper votre câble de charge.

Que faire si vous pensez que vous avez branché quelque chose de mauvais

Si jamais vous ressentez ce sentiment de naufrage, comme « Attendez… je n'aurais pas dû brancher ça« Ne paniquez pas, mais agissez rapidement. Tout d'abord, débranchez l'appareil immédiatement si votre système commence à agir étrangement ou si quelque chose commence à s'exécuter seul, et alignez l'ordinateur pour limiter les dommages ou les fuites de données supplémentaires. Si vous êtes sur une machine de travail, le signalez immédiatement. Si vous avez votre appareil personnel, envisagez une analyse malin approfondie, en modifiant votre activité de mots de passe (en particulier si vous avez été stocké ou automatiquement) et en surveillant une activité suspecte.

Dans le pire des cas, surtout si vous soupçonnez quelque chose comme un tueur USB, soyez prêt à faire vérifier votre matériel ou même à remplacer. Plus vous agissez vite, moins vous êtes susceptible de dommages.

J'ai appris que tout ce qui ne tient pas dans un port ne mérite votre confiance. Je ne branche pas les choses à la légère, et après avoir lu ceci, vous ne le ferez peut-être pas non plus.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.