Articles

Des virus aux malwares
puce

Quel antivirus a l’université ?
puce

Quel antivirus à la maison ?
puce

Outils de désinfection
puce

Danger des clés USB

Ressources

Sécurité > Virus et malwares > Danger des clés USB

Pour les lecteurs pressés

Sous Windows, les clés USB peuvent servir à transporter des virus : vous connectez une clé infectée sur un PC, et celui-ci sera à son tour la victime du virus.

Pour protéger votre PC : téléchargez le fichier registre Autorun-Disable.reg et exécutez-le (double-clic sur le fichier et acceptez les modifications). Notez bien que ce fichier va désactiver les fonctions d’exécution automatique de vos lecteurs (par exemple, un cédérom inséré dans votre PC ne s’exécutera plus tout seul).

Pour protéger une clé USB : téléchargez le fichier de commande protege-cle.bat (faire un clic-droit -> "enregistrer le lien sous ..."), branchez la clé à protéger et exécutez-le

Pour les lecteurs qui veulent en savoir plus

Les clés USB : un élément qui n’est pas sans risque

Peu chères, compactes, légères, les clés USB servent beaucoup à transporter des données. Pour autant, il n’est pas anodin de brancher une clé USB sur un ordinateur Windows : le simple fait de connecter la clé, sans aucune autre action, peut propager un virus entre la clé et le PC !

Windows possède en effet une fonction très ancienne : lorsque vous connectez un support, Windows lit un fichier nommé « autorun.inf », lequel peut déclencher automatiquement l’exécution d’un programme, sans aucune action ni confirmation de votre part. Cette fonction agit par exemple lorsque vous insérez un CD-ROM et que vous voyez un programme qui se lance tout seul.

Certains virus profitent de cette facilité : une fois infectée, une machine va contaminer toute clé USB (ou disque dur portable, etc.) branchée. Et lorsque le support sera connecté sur une autre machine Windows, celle-ci sera infectée à son tour par ce mécanisme.

Notez que les antivirus, même avec des signatures à jour, réussissent rarement à bloquer ces dangers.

Désactivation de la fonction autorun

La meilleure protection consiste à désactiver l’exécution des « autorun ». Il y a pour cela plusieurs méthodes. Attention :
une manipulation erronée du registre peut conduire à des dysfonctionnements graves.
cette désactivation, pour être opérationelle, nécessite l’installation d’un correctif de Microsoft. Voir http://support.microsoft.com/kb/953252

Par le registre :

ouvrir l’éditeur de registre (Menu démarrer → Exécuter → regedit)
aller dans la clé [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
vérifier que la valeur « NoDriveTypeAutoRun » contient 0x95 (autorun est désactivé pour les périphériques de stockage amovible, mais pas pour les CD-ROMS ; mettre 0xFF pour le désactiver partout)
faites la même modification sous
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
créer la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
ajouter la valeur « @ » et mettre « @SYS:DoesNotExist »
effacer la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Pour exécuter tout ça plus rapidement, vous pouvez télécharger le fichier .reg et l’exécuter.

Par une stratégie de groupe : (méthode pour les administrateurs de parc)

dans une stratégie de groupe (locale ou Active Directory), aller dans Configuration ordinateur → Modèle d’administration → Système → Désactiver le lecteur automatique

Comment protéger ses clés USB ?

Pour éviter la contamination d’une clé USB, on peut créer à sa racine un répertoire vide nommé ’’AUTORUN.INF’’ et modifier ses propriétés. Dans l’exemple suivant, nous ouvrons une fenêtre de commande MS-DOS et nous supposons que la clé USB branchée a été reconnue comme lecteur "L :"

  md L:\AUTORUN.INF
  attrib +r +h +s L:\AUTORUN.INF

Pour aller plus vite, téléchargez le fichier de commande et exécutez-le.

Références

Microsoft KnowledgeBase 953252 : Comment corriger l’application de la « désactivation de la clé de Registre d’exécution automatique » dans Windows
US-CERT Technical Cyber Security Alert TA09-020A, Microsoft Windows Does Not Disable AutoRun Properly
Microsft Technet : NoDriveTypeAutoRun
Nick Brown’s blog : Memory stick worms
Contamination par les lecteurs amovibles, par JF (Jean-François)

Modifié le : 3 mai 2010