Pilier : Individu | Niveau : Hybride | Temps de lecture : ~10 min

La clé USB trouvée par terre — une arme déguisée en cadeau

Tu traverses le parking de ton bureau un matin. Par terre, une clé USB. Peut-être qu'elle appartient à un collègue. Peut-être qu'elle contient des documents importants. Tu la ramasses — c'est le geste naturel, presque civique. Tu la branches sur ton ordinateur pour voir à qui elle appartient.

En trente secondes, ton ordinateur est compromis.

Ce scénario n'est pas hypothétique. Il est documenté, reproductible, et utilisé aussi bien par des cybercriminels que par des équipes de tests de sécurité dans des entreprises du monde entier. Il porte un nom : l'USB dropping — ou "baiting" dans le vocabulaire de la cybersécurité.

Et il fonctionne parce qu'il exploite quelque chose que la technologie ne peut pas patcher : la curiosité humaine et le réflexe d'aide.

Le social engineering derrière l'USB dropping

L'USB dropping est avant tout une attaque de social engineering — une manipulation psychologique qui pousse une personne à effectuer elle-même l'action dangereuse, sans qu'aucune contrainte technique ne soit nécessaire.

La technique repose sur deux ressorts psychologiques fondamentaux :

La curiosité — Qu'est-ce qu'il y a sur cette clé ? À qui appartient-elle ? Les études montrent que la majorité des personnes qui trouvent une clé USB inconnue la branchent sur leur ordinateur. Une étude de l'université d'Illinois a fait brancher 98% des clés USB "perdues" par les personnes qui les avaient trouvées.

L'altruisme — Si la clé a une étiquette "Documents RH confidentiels", "Sauvegardes photos famille" ou "Rapport financier Q3", le réflexe est d'essayer de retrouver le propriétaire. L'attaquant utilise ta bienveillance contre toi.

Les cibles privilégiées

L'USB dropping peut viser n'importe qui, mais certains environnements sont particulièrement ciblés :

Les entreprises — parkings, halls d'entrée, salles de réunion, espaces communs. L'objectif est d'accéder au réseau interne de l'entreprise via l'ordinateur d'un employé peu méfiant.

Les institutions publiques — administrations, hôpitaux, universités. Des infrastructures souvent mal protégées avec des données sensibles.

Les particuliers — moins ciblés par des attaques sophistiquées, mais vulnérables aux campagnes de masse où des dizaines de clés sont dispersées dans des lieux publics.

Les conférences et salons professionnels — environnement idéal pour l'attaquant : des professionnels concentrés sur leur domaine, moins vigilants sur la sécurité, avec des ordinateurs connectés à des réseaux d'entreprise.

Les cinq types d'attaques USB

1 — Les fichiers malveillants classiques

La forme la plus simple. La clé contient des fichiers d'apparence anodine — un PDF intitulé "CV.pdf", un document Word "Rapport confidentiel.docx", une image, un fichier Excel. Quand tu l'ouvres, il exécute du code malveillant.

Ces fichiers exploitent des vulnérabilités dans les logiciels de lecture — Adobe Reader, Microsoft Office, le lecteur d'images intégré à Windows. Une version non mise à jour de ces logiciels peut être compromise à la simple ouverture d'un fichier.

Les techniques modernes vont plus loin : des macros cachées dans des documents Word qui s'exécutent automatiquement, des fichiers PDF qui exploitent des failles du lecteur, des archives ZIP qui déposent des exécutables sur le système.

L'objectif : installer un malware persistant, un ransomware, un logiciel espion, ou ouvrir une porte d'entrée vers le réseau de la victime.

2 — Les clés HID — le clavier qui attaque

C'est l'attaque la plus sophistiquée et la plus difficile à détecter. Une clé HID (Human Interface Device) est une clé USB qui se fait passer pour un clavier auprès du système d'exploitation.

Quand tu la branches, ton ordinateur ne voit pas un périphérique de stockage — il voit un clavier. Et en quelques secondes, ce "clavier" tape automatiquement une série de commandes à une vitesse impossible pour un humain.

Des outils comme le Rubber Ducky ou le Bash Bunny — vendus légalement comme outils de test de pénétration — peuvent être programmés pour exécuter n'importe quelle séquence de commandes : ouvrir un terminal, télécharger et exécuter un script depuis internet, créer un compte administrateur, désactiver l'antivirus, exfiltrer des fichiers vers un serveur distant.

Tout ça en moins de 30 secondes. Sans aucun fichier visible sur la clé. Sans aucune alerte de l'antivirus.

Pourquoi l'antivirus ne réagit pas ? Parce que depuis le point de vue du système, c'est un clavier qui tape des commandes. C'est une action légitime, effectuée par un périphérique reconnu.

3 — Les clés de vol de données et d'identifiants

Certaines clés sont conçues spécifiquement pour extraire des données de l'ordinateur sur lequel elles sont branchées, sans exécuter de malware visible.

Elles exploitent la fonctionnalité AutoRun (désactivée par défaut sur Windows depuis 2011, mais toujours active sur de nombreux systèmes mal configurés) ou d'autres mécanismes pour lancer automatiquement un script qui :

  • Copie les fichiers récents et documents de l'utilisateur
  • Extrait les mots de passe sauvegardés dans les navigateurs (Chrome, Firefox, Edge stockent les mots de passe en local — accessibles via des outils spécialisés)
  • Recherche et copie les fichiers de configuration de portefeuilles crypto (Bitcoin Core, Electrum, Exodus stockent leurs fichiers wallet dans des emplacements connus)
  • Copie les cookies de session — qui permettent de se connecter à des comptes sans connaître le mot de passe

Tout est ensuite envoyé automatiquement vers un serveur contrôlé par l'attaquant via une connexion internet discrète — ou simplement copié sur la clé si l'exfiltration réseau n'est pas possible.

Ce type de clé ne fait rien de visible. Pas de ralentissement, pas d'alerte, pas de message. Tu branches, tu regardes "il n'y a rien", tu débranches. Et quelques heures plus tard, quelqu'un accède à tes comptes.

4 — Les clés de vol de portefeuilles crypto

Une variante très ciblée du vol de données, spécifiquement optimisée pour les cryptomonnaies.

Les portefeuilles crypto stockent leurs fichiers de configuration dans des emplacements standards sur chaque système d'exploitation. Une clé malveillante peut automatiquement chercher et copier :

  • Bitcoin Core : %AppData%\Bitcoin\wallet.dat
  • Electrum : %AppData%\Electrum\wallets\
  • Exodus : %AppData%\Exodus\exodus.wallet\
  • MetaMask : données dans le profil du navigateur
  • Les fichiers de seed phrase stockés en texte dans des documents

Si ton portefeuille n'est pas protégé par un mot de passe fort, l'accès au fichier wallet suffit à vider ton portefeuille. Et contrairement à un virement bancaire, une transaction crypto ne peut pas être annulée.

5 — L'USB Killer — la destruction physique

L'USB Killer est une catégorie à part. Ce n'est pas une attaque informatique — c'est une attaque physique déguisée en clé USB.

L'USB Killer contient un condensateur. Quand tu le branches, il charge rapidement ce condensateur en utilisant l'alimentation électrique du port USB — puis décharge une surtension électrique intense directement dans les circuits de l'ordinateur.

Le résultat : destruction immédiate et irréversible de la carte mère, du contrôleur USB, parfois de l'ensemble de la carte mère. L'ordinateur ne redémarre plus. Les données sont inaccessibles (sauf récupération du disque dur sur une autre machine, si celui-ci a survécu).

Des versions commerciales de l'USB Killer sont vendues ouvertement pour "tester la protection des équipements". En pratique, elles ont été utilisées pour détruire du matériel dans des bibliothèques universitaires, des salles de réunion d'entreprise, des bornes informatiques publiques.

L'USB Killer est physiquement indiscernable d'une clé USB normale. Même taille, même apparence, même poids ou presque.

Le risque sur smartphone et tablette

L'USB dropping ne cible pas seulement les ordinateurs. Les smartphones et tablettes sont également vulnérables — avec des spécificités importantes.

Android est particulièrement exposé via le mode USB OTG (On-The-Go) qui permet à un périphérique USB d'interagir avec le téléphone. Une clé HID peut envoyer des commandes à un téléphone Android comme à un ordinateur.

iOS est généralement plus restrictif sur les périphériques USB, mais certaines versions et certains modes de connexion peuvent être exploitables.

Les ports de charge publics (aéroports, hôtels, centres commerciaux) sont une variante de cette attaque — le câble ou la borne peut être modifié pour injecter des données en même temps que l'électricité. C'est ce qu'on appelle le juice jacking. La règle : utilise toujours ton propre chargeur et branche-le sur une prise secteur, jamais sur un port USB inconnu.

Ce que tu fais si tu as déjà branché une clé inconnue

Si tu réalises après coup que tu as branché une clé USB dont tu ne connaissais pas l'origine, voici les étapes à suivre dans l'ordre.

Étape 1 — Débranche immédiatement et déconnecte du réseau

Retire la clé. Déconnecte immédiatement l'ordinateur du réseau — coupe le Wi-Fi, débranche le câble Ethernet. Si une attaque est en cours, couper la connexion réseau limite l'exfiltration de données et le téléchargement de payloads supplémentaires.

Étape 2 — N'utilise plus cet ordinateur pour des opérations sensibles

Jusqu'à ce que tu aies fait une analyse complète, traite cet ordinateur comme potentiellement compromis. Ne te connecte pas à tes comptes bancaires, ne tape pas de mots de passe, ne consulte pas tes portefeuilles crypto.

Étape 3 — Lance une analyse antivirus complète

Avec un antivirus à jour, lance une analyse complète du système. Cela ne détectera pas les attaques HID (qui n'ont laissé aucun fichier) ni les vols de données déjà effectués, mais peut détecter des malwares déposés.

Pour une analyse plus approfondie, démarre depuis un système live externe — une clé Tails OS ou un CD de rescue — et analyse le disque depuis cet environnement non compromis.

Étape 4 — Change tes mots de passe depuis un autre appareil

Depuis un appareil différent que tu sais propre, change immédiatement les mots de passe de tes comptes les plus sensibles : email principal, banque, portefeuilles crypto. Active ou réactive le 2FA partout.

Étape 5 — Vérifie tes sessions actives

Sur chaque service important, consulte les sessions actives et déconnecte tout ce que tu ne reconnais pas. Gmail, Facebook, comptes bancaires — tous proposent cette fonctionnalité.

Étape 6 — Si tu gères du crypto

Si tu avais des fichiers de portefeuille crypto sur cet ordinateur, considère-les comme potentiellement compromis. Transfère immédiatement tes fonds vers un nouveau portefeuille créé sur un appareil propre.

Étape 7 — En environnement professionnel

Si l'incident s'est produit sur un ordinateur de travail, informe immédiatement ton service informatique ou ton responsable de sécurité. Ne minimise pas l'incident — une clé HID peut avoir compromis l'ensemble du réseau de l'entreprise en quelques secondes.

Comment se protéger

La règle absolue

Ne jamais brancher une clé USB inconnue sur aucun de tes appareils. Peu importe où tu l'as trouvée, peu importe ce qu'il y a écrit dessus, peu importe à quel point elle semble anodine.

Si tu trouves une clé et que tu veux vraiment identifier son propriétaire, remets-la à la sécurité d'un bâtiment, à un service de police, ou laisse-la sur place. Ce n'est pas ton problème à résoudre.

En environnement professionnel

Signale toute clé USB trouvée au service de sécurité informatique. Ne la branchez jamais, même sur un ordinateur "dédié aux tests". Les clés HID et USB Killer fonctionnent sur n'importe quelle machine.

Sensibilise tes collègues. La plupart des incidents de sécurité en entreprise commencent par une action humaine, pas par une faille technique.

Protéger ses ports USB

Sur Windows, il est possible de désactiver les ports USB via la politique de groupe ou le registre — solution radicale pour les postes de travail en environnement sensible.

Des solutions de blocage physique des ports USB existent — des petits verrous qui s'insèrent dans les ports et empêchent tout branchement non autorisé.

Pour les portefeuilles crypto

Ne stocke jamais tes fichiers de portefeuille ou ta seed phrase sur un ordinateur connecté à internet. Utilise un cold wallet matériel (Ledger, Trezor) qui nécessite une confirmation physique sur l'appareil pour chaque transaction — même si l'ordinateur est compromis, tes fonds restent protégés.

Méfiance systématique envers les ports USB publics

Pour les chargements en déplacement : utilise uniquement des prises secteur avec ton propre chargeur. Si tu dois utiliser un port USB public, un data blocker USB (ou "USB condom") — un adaptateur qui laisse passer l'électricité mais bloque les données — est une protection simple et peu coûteuse (5 à 10 euros).

En résumé

L'USB dropping est une attaque de social engineering qui exploite la curiosité et l'altruisme humaines pour contourner toutes les défenses techniques. Une clé USB trouvée peut contenir des malwares dans ses fichiers, se faire passer pour un clavier et exécuter des commandes en silence, voler tes mots de passe et tes portefeuilles crypto, ou simplement détruire physiquement ton matériel. La protection est simple : ne jamais brancher une clé inconnue. Sur aucun appareil. Jamais. C'est la seule règle qui fonctionne à 100%.

La vigilance comme bouclier. La connaissance comme arme.

Tu as un doute sur la sécurité de ton appareil ?

Nous contacter

Article rédigé dans le cadre du projet ODIN — Observer, Détecter, Identifier, Neutraliser. Ce contenu est informatif et éducatif. La description des outils mentionnés vise à sensibiliser, pas à faciliter leur utilisation malveillante.