Français
Español
Italiano
Cybersécurité OT et gestion des supports amovibles USB
Quelle solutions mettre en œuvre pour éviter les infections USB-portées ?
Les supports USB amovibles sont un des vecteurs de cyber-attaque. Il est donc impératif de mettre en place une stratégie de cybersécurité OT qui intègre cette menace potentielle. SPHINX propose les solutions de son partenaire HOGO pour mener à bien cette mission simplement.
Une bonne pratique consiste à distinguer les supports amovibles par usage. Ainsi, il est raisonnable de dédier des supports amovibles à des usages relatifs au SIE (système d’information de l’entreprise) et à prendre des précautions complémentaires lors des échanges de données entre le SIE et d’autres SI (système d’informations). Dans tous les cas, il est recommandé de surveiller les échanges réalisés au moyen de supports amovibles.
Les informations qui suivent sont en grande partie extraites d'un document rédigé par l’ANSSI « Recommandations pour la protection des systèmes d’information essentiels », téléchargeable dans son intégralité sur le site de l'agence ANSSI.
1- Dédier des périphériques amovibles USB au SIE
1-1 Scénario d'attaque
Un utilisateur possède une clé USB et la connecte suivant les cas à l’automate d’une machine industrielle, à un poste de travail bureautique ayant accès à Internet et au SIE. Un attaquant compromet le poste de travail grâce à un courriel piégé. L’attaquant copie un code malveillant sur la clé USB lorsqu’elle est connectée au poste de travail. Ce code est transporté via le support amovible et exécuté sur le SIE à l’insu de l’utilisateur. L’attaquant peut alors modifier le SIE et continuer son attaque.
1-2 Dédier aux SIE des supports amovibles identifiés
Les supports amovibles étant des vecteurs d’attaque, l’opérateur doit dédier des supports amovibles au fonctionnement des SIE (exploitation, maintenance, administration, sécurité, etc.). Seuls ces supports peuvent être connectés au SIE. Ils ne peuvent être connectés qu’au SIE et aux systèmes explicitement prévus par l’opérateur. Ces supports doivent être inventoriés et physiquement identifiés.
L’opérateur peut mettre en œuvre des mesures techniques ou organisationnelles permettant de contrôler l’application de cette règle, comme :
-
boucher physiquement les ports USB
-
désactiver les ports USB sur les équipements du SIE (par configuration du BIOS ou du système d’exploitation), la connexion de supports amovibles pouvant être finalement autorisée sur un petit nombre d’équipements après une validation organisationnelle
-
utiliser des logiciels de restriction de l’utilisation des clés USB (suivant une marque ou un modèle particulier, la présence d’une signature, etc.) sur les équipements du SIE
-
mettre en œuvre une traçabilité, organisationnelle ou technique, de l’utilisation des supports
-
s’assurer de la protection physique des supports en les mettant dans un coffre fermé
-
appliquer un marquage visuel clair sur les supports concernés afin de les identifier facilement.
Exemple
Un opérateur, dans une infrastructure Windows, souhaite éviter l’injection de code malveillant ou l’exfiltration de données au moyen de clés USB. Il peut désactiver logiquement les ports USB au travers d’une stratégie de groupe (GPO). Il peut aussi désactiver ces mêmes ports au niveau du BIOS, ou boucher physiquement les ports USB.
Un opérateur, dans une infrastructure Windows, souhaite éviter l’injection de code malveillant ou l’exfiltration de données au moyen de clés USB. Il peut désactiver logiquement les ports USB au travers d’une stratégie de groupe (GPO). Il peut aussi désactiver ces mêmes ports au niveau du BIOS, ou boucher physiquement les ports USB.
2- Innocuité des périphériques USB à usage mixte
Si une passerelle d’échange (interconnexion directe) ne peut pas être mise en place, alors un support de tockage amovible peut servir à transférer de l’information entre un SIE et un autre SI. Par exemple, un SIE dépourvu d’interconnexion reçoit des mises à jour sur un support amovible.
Si la maîtrise des supports amovibles est nécessaire, elle doit être complétée par une vérification de l’innocuité du contenu des supports. Pour cela, il est nécessaire de les analyser systématiquement avant leur utilisation.
2-1 Décontaminer les supports amovibles USB avant leur utilisation
L’opérateur doit procéder à l’analyse systématique du contenu de chaque support amovible dès sa connexion au SIE, avant de pouvoir l’utiliser.
Pour permettre cette analyse avant utilisation, il est fortement recommandé de désactiver l’exécution automatique des contenus (autorun).
L’analyse doit au minimum rechercher des codes malveillants par rapport à une base de connaissance à jour.
Cette recommandation est généralisée à l’ensemble des utilisations de supports amovibles, et pas seulement aux échanges d’informations avec d’autres SI.
Cette recommandation peut efficacement être complétée par d’autres mesures de lutte contre les codes malveillants : analyse du comportement de la machine, limitation des codes exécutables à une liste d’autorisation (ou liste blanche) avec utilisation possible de signatures cryptographiques pour valider l’intégrité et l’authenticité de ces codes exécutables, etc.
La recommandation évoque un contrôle fait directement sur le SIE. Dans ce cas, si le contrôle est faillible, le SIE peut être compromis avant même d’avoir détecté le code malveillant. Il est possible de renforcer la défense en profondeur en déplaçant l’analyse du support amovible avant son intégration dans le SIE.
2-2 Utiliser une station blanche S3BOX dédiée à l'analyse des supports amovibles
Afin de limiter l’impact de l’exécution d’un code malveillant présent sur un support amovible, il est fortement recommandé d’utiliser des équipements spécifiques pour analyser les supports amovibles avant leur connexion au SIE.
L’opérateur peut par exemple utiliser des stations blanches certifiées par l’ANSSI , dans lesquelles le support est analysé.. Ces solutions peuvent intégrer les fonctions suivantes
-
analyse antivirale à partir d’une base de connaissance
-
analyse comportementale par ouverture du document ou du code exécutable à analyser dans un environnement dédié ou bac à sable
-
transformation des documents, depuis un format de bureautique (texte, tableau, etc.) vers un format image, afin d’éviter qu’un éventuel code intégré puisse être exécuté (statification)
-
limitation des formats de fichier autorisés et validation de la structure des fichiers par rapport à des formats de référence
-
protection des équipements contre les attaques en surcharge électrique (dites USB killer)
-
protection des équipements contre les attaques par usurpation USB (dites Bad USB).
Les figures ci dessous illustrent le fonctionnement de la station blanche S3BOX, certifié par l'ANSSI ( lien )
-
L’utilisateur connecte le support amovible à analyser à la station blanche et sélectionne lesfichiers qu’il souhaite transférer sur le SIE.
-
La station blanche analyse les fichiers et copie les fichiers sains sur un support amovible maîtrisé et dédié à l’importation et à l’exportation de données entre le SIE et la station blanche. De manière à limiter l’impact en cas de compromission de la station blanche, les transferts de données entre les deux supports de données sont réalisés en minimisant autant que possible les données temporaires. Si ces données temporaires sont inévitables, un mécanisme automatique les supprime périodiquement (ex. : quotidiennement).
-
L’utilisateur, authentifié sur le SIE, connecte le support amovible maîtrisé sur un point d’insertion de données, lequel vérifie qu’il s’agit d’un support maîtrisé et que l’analyse de sécurité a bien été faite par la station blanche. Cette action d’importation de données est journalisée et imputée à l’utilisateur.
3- Quatre stations blanches USB HOGO pour quatre usages
3-1 S3 Filter HOGO, une station blanche USB personnelle
Le tout dernier produit issu de la R&D de Hogo.
Miniature, léger, simple à utiliser, complètement automatisé…
Branchez le S3Filter à votre ordinateur (port USB-A) et utilisez le pour connecter vos périphériques USB : vous êtes protégés !
3-2 S3 BOX HOGO, une tablette pour la désinfection itinérante
La S3BOX est à ce jour la seule station blanche certifiée par l'ANSSI comme "anti-virus, protection contre les codes malveillants" ( lien vers la page des produits certifiés par l'ANSSI)
Spécialement conçue pour une utilisation itinérante, la S3Box est une tablette durcie et robuste (certifiée IP67 et MIL-STD810G pour la température, humidité, chute…). La S3Box est la première station blanche certifiée CSPN auprès de l’ANSSI. Typiquement utilisée en chantier ou sur des sites industriels, où la mobilité est un gage d’efficacité
3-3 S3POS, une station blanche fixe dédiée à un service
Poste monobloc à écran tactile à électronique intégré
La S3Pos est une solution compacte, simple d’utilisation, et facilement intégrable.
La S3Pos est très utilisée en mise à disposition sur table dans un bureau, sur un poste d’accueil.