On ne peut plus s’en passer, c’est si pratique!
Les clés USB sont omniprésentes pour les échanges dans les entreprises; les prestataires informatiques en usent aussi largement pour installer leurs mises à jours applicatives, patches et autres drivers…
Ces clés voient parfois des dizaines d’entreprises différentes, des centaines de postes en toute impunité.
Je vais être parano mais: cela met en péril l’informatique de ces entreprises (et le peu de crédibilité qui restaient aux prestataires).
Pourquoi et comment avec ce petit exemple (vrai)
Actuellement, mon métiers fait que j’interviens dans les entreprises pour réaliser la « connexion informatique » de copieurs multifonctions. Cela nécessite d’installer des pilotes (PCL, PS, PC-fax), certaines applications (de communications, serveurs FTP, …). Comme tout le monde j’ai une batterie de clés USB pour cela.
Aujourd’hui, j’ai remarqué une chose qui m’a amusé une bonne heure: sur l’une de ces clés, il y avait deux fichiers: autorun.inf et printer.exe
Ces deux fichiers à priori anodins, ne font pas partie de « mes » fichiers, je les ai donc supprimé sans chercher plus loin.
Sauf que… ils réapparaissaient systématiquement! Idem en les renommant…ou en formattant ma clé! (Yes! enfin un peu de sport!)
Je regarde les processus actifs et je repère un truc qui s’appelle cftmons.exe lancé par l’utilisateur (un processus légitime s’appelle ctfmon.exe).Je stoppe le processus et me lance dans le registre.
Dans HKCU/Software/…/run je trouve un appel étrange à mssql.exe. Comme pour mes 2 fichiers, il ne veux pas être supprimer… (pour l’anecdote: même si les propriétés laissent croire à un fichier de chez Microsoft, la langue d’origine chinoise trahit le malware).
J’ai arrêté là mon petit bricolage et j’ai lancé un scan complet ma machine….
Je ne vais pas m’étendre sur le fait que le moniteur temps réel de mon AV n’a rien vu… Après tout, celui des clients où cette clé est passée non plus!
Je rassure aussi mes lecteurs: je vérifie mes clés USB tous les jours. De plus, j ‘ai plusieurs clés (avec les même choses) c’est aussi pour éviter de propager les infections glaner ça et là.
La morale de cette histoire est double:
– Les entreprises font généralement trop confiance aux clés USB (cela rappellera des souvenirs à une grande entreprise du coin)
– les prestataires devraient être irréprochable sur la « propreté » de leurs lecteurs et autres médias amovibles.