Contrôle des stockages amovibles en entreprise – Partie 1 – Introduction et problématiques
Avec la démocratisation des supports de stockage amovibles, jamais autant de périphériques personnels n’ont été connectés aux Systèmes d’information d’entreprise et utilisés à des fins professionnelles (mais aussi privées).
Ce qui aurait pu paraitre au premier abord comme une économie (l’utilisateur “se paie” son stockage amovible 
) est surtout perçu aujourd’hui par la majorité des responsables informatique comme une vraie problématique de sécurité.
Cette problématique de sécurité avec les clés USB et disques durs externe en entreprise inclus plusieurs facettes :
- La perte de données (pouvant être très sensibles)
- Le vol d’informations
- L’infection du poste et du reste du Système d’Information
- L’exécution d’applications non standards aux référenciel de l’entreprise
La perte ou le vol d’informations
Les clés USB ou disques externes personnels peuvent être facilement perdus ou volés. Du fait de l’évolution technologique et de la baisse de prix du Go (à la date d’écriture de cet article, une clé de 16 Go vaut environ 15€ et un disque dur externe de 500 Go environ 50€), les utilisateurs se contentent alors simplement de remplacer le support par un modèle plus récent sans pour autant prévenir le service IT de la perte potentielle de certaines informations.
L’usage de mécanismes de chiffrements ou de contrôle d’accès (par mot de passe ou biométrie) sur ces périphériques amovibles personnels reste aujourd’hui marginal pour la majorité des utilisateurs.
Dans les actions de sensibilisation auprès des employés, il est donc fortement recommandé de passer le message suivant “la valeur du matériel volé/perdu n’est rien en regards de la valeur du contenu”
Donc si vous (administrateur IT) ne mettez pas en place de solutions techniques pour limiter ces risques de perte ou de vol de périphériques, il est fortement recommandé d’encourager les utilisateurs à faire usage de clés incluant des mécanismes de sécurité (chiffrement intégré, mot de passe…)
Ressources complémentaires :
- Les PME incohérentes face à la sécurité
https://www.securityvibes.fr/conformite-organisation/les-pme-incoherentes-face-a-la-securite/ - Confidential Data Lost Via USB Drives and Other Mobile Devices, New Survey Finds
https://www.govtech.com/security/Confidential-Data-Lost-Via-USB-Drives.html - Lost on USB drive: Confidential data on every prisoner in England and Wales
https://nakedsecurity.sophos.com/2008/08/22/lost-on-usb-drive-confidential-data-on-every-prisoner-in-england-and-wales/ - Flash Drives: The quickest way to lose confidential data?
https://www.secure-it.com.my/index.php/component/content/article/1-latest-news/138-flash-drives-the-quickest-way-to-lose-confidential-data.html - Confidential social services data found on USB stick in Stoke-on-Trent
https://www.infosecurity-magazine.com/view/8396/confidential-social-services-data-found-on-usb-stick-in-stokeontrent/
Infection du poste du travail
Avec la navigation Web et la messagerie électronique, la connexion de périphériques de stockage USB est un des vecteurs majeur de propagation de code malveillant sur les postes de travail. Replaçant de la disquette historique, la clé USB (et son “grand frère”, le disque dur externe) sert le plus souvent pour échanger des fichiers entre personnes ou machines.
Du fait de la nature furtive (car difficilement contrôlable) de ces échanges, la propagation d’un code malveillant au sein d’un système d’information peut être extrêment rapide et difficilement stoppable.
Infectée à l’extérieur du système d’information sur un PC personnel, le poste d’un partenaire ou “pré-infectée” par des cybercriminels, la clé USB est un véritable cheval de Troie que vos utilisateurs font entrer dans le système d’information.
Couplé à un peu social engineering, une clé USB pré-infectée devient un sésame pour entrer n’importe quel système d’information même le plus isolé au monde (par exemple une usine d’enrichissement d’uranium non connectée à Internet dans le cas de Stuxnet)
Ressources complémentaires :
- How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History
https://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1 - Yet Another "People Plug in Strange USB Sticks" Story
https://www.schneier.com/blog/archives/2011/06/yet_another_peo.html - Human Errors Fuel Hacking as Test Shows Nothing Stops Idiocy
https://www.bloomberg.com/news/2011-06-27/human-errors-fuel-hacking-as-test-shows-nothing-prevents-idiocy.html - Peter Cochrane's Blog: Shafted by a USB stick
https://www.silicon.com/technology/security/2011/07/11/peter-cochranes-blog-shafted-by-a-usb-stick-39747667/?s_cid=988
Exécution d’applications
Les clés USB sont également bien utiles pour certaines populations tendances geek ou simplement technophiles qui veulent utiliser d’autres applications que celles proposés sur leur poste de travail d’entreprise. En effet, le plus souvent (c’est en tout cas une recommandation) les utilisateurs en entreprise ne disposent pas des privilèges d’administrateur limitant de fait la possibilité d’installer des applications sur le socle standardisé par l’IT et c’est là qu’interviennent les clés USB U3.
Crées par la société U3 (et soutenu par les contructeurs de mémoire flash), l’U3 est une plateforme logicielle permettant d’écrire et/ou d’utiliser des applications spécialement prévues pour fonctionner depuis une clé USB sans nécessiter d’installation sur le système d’exploitation. En 2011, Sandisk (à l’origine de l’U3) a annoncé la fin de vie et du support de la technologie U3. En temps, d’autres alternatives sont arrivées sur le marché et proposent des services similaires : PortableApps, Framakey ou encore Liberkey pour ne citer que les plus connus.
Sur ces clés USB pleines d’applications, on trouve une grande diversisté d’applications : navigateur Web, logiciels de VoIP, outils de téléchargement, applications de sécurité….
Ces clés USB particulières ont plusieurs inconvénients pour les administrateurs et la sécurité du SI en général :
- Elles laissent peu ou pas de traces sur l’ordinateur hôte
- La mise à jour des logiciels présents n’est pas toujours possible ou faite, exposant ainsi la machine aux vulnérabilités de l’application (ex : un navigateur Web et ses plug-ins)
- Le stockage d’informations potentiellement sensibles (cookies, mots de passe stockés d’applications Web d’entreprise dans le navigateur installé sur la clé)
Ressources complémentaires :
- Quid de la sécurité des clés USB U3 ?
https://www.secuobs.com/news/14122006-usb_u3.shtml#contenu - U3 USB Stick (In-)Security
www.net-security.org/dl/articles/u3_technology_v1.0.pdf
Maintenant que les risques sont connus, nous allons voir comment réduire ces risques avec les fonctionnalités natives à Windows (client & serveur).
Les différentes scénarios d'usage que je vais détailler dans les 2 prochaines parties avec les réponses IT appropriées sont les suivants :
- Le poste d'entreprise (de Windows XP à Windows 7) –> dans la partie 2
- Le poste en libre service avec port USB apparent et non collé à la superglue ;-) -> dans la partie 2
- Le serveur accessible physiquement par un administrateur ou autre opérateur –> dans la partie 2
- Le serveur accessible via les services de Bureaux à distance (Remote Desktop Services) –> dans la partie 3
- Le poste d'entreprise virtualisé dans le Datacenter (Virtual Desktop Infrastructure) –> dans la partie 3
Voilà c’est tout pour cette première partie. Pour lire la seconde partie, c'est par ici : https://blogs.technet.com/b/stanislas/archive/2011/07/13/contr-244-le-des-stockages-amovibles-en-entreprise-partie-2.aspx