Dans ce qui est peut-être le meilleur épisode de la série Mr. Robot, l'un des hackers de F-Society laisse volontairement traîner quelques clés USB sur le parking d'une prison dans l'espoir que quelqu'un va en ramasser une et la brancher sur un ordinateur du pénitencier, permettant ainsi aux hackers d'accéder à son réseau. Et évidemment, l'un des employés de la prison se fait avoir.Utiliser des clés USB piégées est une technique classique pour les hackers. Mais est-ce vraiment efficace ? C'est la question que se sont posés des chercheurs de l'Université de l'Illinois, qui ont disséminé 297 clés USB sur le campus de l'école l'année dernière.Et visiblement, ça marche vraiment bien. Dans un article publié récemment, les chercheurs estiment qu'au moins 48% des gens ne voient aucun inconvénient à ramasser une clé USB inconnue, à la brancher sur leur ordinateur et à ouvrir les fichiers qu'elle contient. En outre, presque toutes les clés (98%) avaient été ramassées ou déplacées de leur emplacement initial.Très peu de gens se sont dits inquiets pour leur sécurité. 68% des gens ont avoué n'avoir pris aucune précaution, selon l'étude, qui sera présentée au 37ème symposium de l'IEEE au mois de mai.
Les chercheurs concluent donc que « la légende selon laquelle les gens ont tendance à ramasser n'importe quelle clé USB et à la brancher sur leur ordinateur est vraie. »D'après les réponses données par les participants au questionnaire, les chercheurs ont constaté que la plupart des gens avaient « des intentions altruistes. » En fait, 68% des personnes interrogées ont affirmé qu'elles avaient surtout cherché à identifier le propriétaire de la clé pour la lui rendre, alors que 18% seulement ont admis avoir agi par pure curiosité. Cependant, si l'on examine leurs actions, il semble bien que certaines personnes aient surestimé leurs bonnes intentions. Alors que certaines clés contenaient un CV, plus de la moitié des utilisateurs n'ont pas ouvert ce fichier, préférant regarder des photos de vacances, « rongés par la curiosité » selon les chercheurs.Matt Tischer pense qu'il est difficile de modifier ce type de comportement.« Il n'y a pas de solution évidente à ce problème, mais il ne faut certainement pas se contenter de l'aspect technique ; il faut aussi comprendre les facteurs sociaux et économiques qui influencent le comportement humain, dit-il par e-mail. Il y a une différence entre prévenir les gens qu'une certaine action est dangereuse, et les convaincre de ne pas faire quelque chose. C'est sur cela qu'il faut travailler. »
Publicité
« Je fais confiance à mon Macbook pour me protéger des virus », a par exemple déclaré l'un des participants, tandis qu'un autre semblait conscient des risques, mais n'était pas inquiet pour autant, avouant : « J'ai sacrifié un ordinateur de la fac. »Quelque 135 personnes ont carrément ouvert les fichiers présents sur les clés, selon l'étude. Les chercheurs n'y avaient pas caché de virus, mais y avaient placé un fichier HTML contenant une image permettant de détecter quand un fichier avait été ouvert. Le fichier HTML contenant également un questionnaire, afin d'informer les étudiants et les professeurs qu'ils prenaient part à une expérience et de tenter de savoir pourquoi ils avaient ramassé la clé et ouvert les fichiers.« Ce genre d'attaque peut prêter à sourire, mais ce qui est inquiétant, c'est que ça fonctionne – et il faut que nous y remédions », m'a expliqué l'auteur principal de l'étude, Matt Tischer, par e-mail."Ce genre d'attaque peut prêter à sourire, mais ce qui est inquiétant, c'est que ça fonctionne."
Publicité