Les périphériques USB sont aujourd’hui une commodité pour les salariés. Ancrés dans notre quotidien, ces outils présents à l’intérieur des entreprises sont devenus des vecteurs d’infection privilégiés par les cybercriminels.
Pour détecter une tentative de compromission par support USB, les entreprises peuvent s’appuyer sur des équipements appelés stations blanches. À l’aide de moteurs de détection de malware, ces stations permettent d’analyser et de détecter la présence d’une menace.
Véritable sas de décontamination, les stations blanches sont particulièrement utiles dans des environnements fortement ciblés par des cyberattaques comme ceux des 35 secteurs listés dans le cadre de la directive européenne NIS2.
C’est dans ce contexte que la société GLIMPS a signé un partenariat technologique et stratégique avec la société TYREX en intégrant aux stations blanches ses capacités de détection et d’analyse de sa solution GLIMPS MALWARE. Explications.
Les infections par support USB, une menace bien réelle
Si la clé USB semble être un vestige technologique relégué au côté des supports CD, elle jouit toujours d’une grande popularité. Pour prendre un exemple, rien que sur le marché allemand, ce ne serait pas moins de 10,8 millions de supports de stockage USB qui se seraient vendus en 2022 selon le dernier rapport de l’institut Statista. Un chiffre qui démontre de nos jours la forte adoption de ce support, pour un pays qui rappelons-le ne compte que 83 millions d’habitants.
En outre, depuis le COVID et les attaques massives de Ransomwares, les réseaux critiques et industriels ont été immédiatement déconnectés afin de se protéger d’internet, faisant donc mécaniquement revenir le média USB sur le devant de la scène pour transférer de la donnée d’un réseau à l’autre.
Pour tirer profit de cette large adoption, les cybercriminels ont développé différents modes opératoires :
- USB Drop
Le mode opératoire appelé USB Drop est relativement simple. Une clé USB infectée par un malware est laissée sur le sol ou sur un bureau dans l’attente qu’une victime la branche sur un poste de travail.
S’il relève du bon sens de ne pas brancher un support USB inconnu sur le système d’information de l’entreprise, rappelons que d’après une étude de l’université de l’Illinois publié en 2016, 20% des clés USB trouvées sont branchées dans l’heure, et 25% supplémentaires dans les 6 heures qui suivent. Difficile à identifier, la menace est alors bien réelle.
- HID Spoofing
Le HID Spoofing est un mode opératoire ou la clé USB est utilisée comme un clavier à l’insu de la victime. À l’activation de cette dernière, une série de commandes est lancée sur la machine afin d’en prendre le contrôle ou d’exfiltrer des données.
- Distribuer des clés USB infectées durant des salons professionnels
Les salons professionnels sont une cible privilégiée pour les cybercriminels, notamment à des fins d’espionnage industriel. Ainsi les clés USB piégées se retrouvent alors disséminées auprès des visiteurs du salon.
Si ce mode opératoire semble surprenant, c’est précisément ce qui est arrivé à l’entreprise IBM et à l’ADA (American Dental Association) qui ont distribué à leur insu des dizaines de milliers de clés USB infectées. Pour ces deux entreprises, le constructeur chinois avait alors été lui-même victime d’une cyberattaque sur sa chaîne de fabrication, ce qui a permis d’installer un malware sur l’ensemble des supports USB produits.
Les stations blanches permettent de garantir l’intégrité du système d’information de l’entreprise contre les menaces par support USB
Pour endiguer ces menaces, les stations blanches placées sous la forme de totem à l’entrée des entreprises ou d’une console posée sur un bureau permettent de scanner un fichier spécifique ou l’ensemble d’une clé USB pour recevoir une levée de doute immédiate.
Pour Rodolphe Bitaud, Business Developer chez GLIMPS : « L’intégration de la technologie GLIMPS Malware, permet d’apporter une capacité de détection et d’analyse supplémentaire à la station blanche TYREX et par la même occasion de compléter sa protection multicouche. »
Agnostique au format de fichier (PDF, Doc, Excel, PowerPoint), qu’il soit compilé ou non, l’analyse statique par conceptualisation du code permet de détecter toutes les formes de menaces comme les ransomware, cheval de troie, rootkit que le fichier incriminé soit exécuté ou non.
Approche basée sur une analyse macro du payload, l’analyse par conceptualisation du code permet de créer une description et un concept-code d’une menace et ainsi de mettre en évidence des points communs entre le fichier analysé et une menace connue, le tout sans avoir besoin de passer par une étape de décompilation. Fort d’une capacité d’amélioration continue nourrie des milliers d’analyses quotidiennes et d’une base de données de plusieurs millions de malwares préalablement analysés, la technologie GLIMPS Malware délivre en quelques secondes un verdict (malveillant / non malveillant) accompagnés d’informations sur la typologie et la famille du malware.
Si l’analyse statique est activée par défaut, « il est également possible de configurer un moteur de détection d’analyse dynamique incluant une sandbox optimisée qui permet d’extraire des dump mémoire qui seront réinjectés dans l’analyse statique » rappelle l’expert.
Un partenariat qui a fait ses preuves
Pour Rodolphe Bitaud, « le déploiement et la configuration en quelques minutes de la solution GLIMPS Malware et son fonctionnement en mode déconnecté permettent de répondre à de nombreux cas d’usages ».
C’est pourquoi les stations blanches TYREX utilisant la technologie GLIMPS Malware ont été installées dans le secteur du transport (aérien, maritime), un secteur fréquemment contraint par des environnements air gap. Dans le cadre du transport maritime, l’itinéraire de navigation étant partagé par clé USB, il est primordial de s’assurer de l’intégrité du support USB avant de l’intégrer au système d’information du navire. C’est pourquoi l’installation d’une station blanche placée sur le bateau permet d’analyser tout support USB avant utilisation.
Solution souveraine, un accueil enthousiaste est reçu de la part des entreprises des secteurs réglementés par l’application de la directive NIS-2 comme les administrations publiques, les banques, les entreprises du secteur de l’énergie, de la santé, de la défense. Pour Rodolphe Bitaud, « NIS-2 étant basée sur une approche de gestion de tous les risques, toutes les sociétés confrontées à l’accueil de publics dans leurs locaux devront avoir recours à ce type de dispositif ».
Salué pour sa qualité de conception matérielle et sa pertinence d’analyse, la solution reçoit actuellement une forte demande commerciale de la part des marchés d’Amérique du Nord, d’Allemagne et du Moyen Orient, résultant par l’ouverture d’un bureau à New York pour la société TYREX et d’un bureau à Toronto pour la société GLIMPS.
Pour Laurent Ably, Directeur Technique de la société TYREX, l’intérêt du marché autour de ce partenariat s’explique par un besoin de renforcement de la capacité de détection des stations blanches qui font face à des menaces toujours plus sophistiquées : « Dans un contexte réglementaire ou opérationnel, pour les environnements en ligne ou totalement airgappés, les stations blanches doivent aujourd’hui s’armer pour détecter des menaces plus évoluées, y compris des menaces encore inconnues. Le partenariat technologique avec GLIMPS décuple les capacités de nos stations TYREX ».
En conclusion
Même si le support semble désuet, les menaces par clé USB reste une menace d’actualité, d’autant plus quand le recours à cet outil revient en force lorsque que la sécurité est mise en œuvre au niveau d’un réseau.
Pour renforcer la sensibilisation à la cybersécurité et éviter toute compromission, les entreprises doivent mettre en œuvre des mécanismes d’analyse et de détection permettant d’assurer l’intégration de leur système d’information.
Si vous souhaitez en savoir et assister à une démonstration, n’hésitez pas à contacter nos experts.