Guide de sécurisation de Windows face aux menaces des périphériques amovibles

Par Gof

Interdire l’écriture sur les périphériques amovibles

Petite nuance ici, nous allons voir qu’il est possible d’accéder en lecture à un périphérique amovible, mais pas en écriture. L’intérêt n’est que limité dans les cas de figure que nous survolons : en effet, nous nous attachons surtout à éviter la propagation d’un malware de la clé au système ; l’inverse ne nous intéresse que partiellement, sauf dans des cas très précis. C’est donc la clé de registre suivante (Illustration 34) que nous allons modifier :

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Illustration 34 – Clé pour interdire l’écriture sur les périphériques amovibles

Nous allons y créer la sous-clé StorageDevicePolicies, dans laquelle nous allons y créer la valeur WriteProtect que nous définirons (donnée de valeur DWORD) à 1 (Illustration 35). Vous observerez que cette clé n’existe pas par défaut. Pour annuler l’opération et autoriser l’écriture sur les périphériques amovibles, il vous faudra basculer la valeur à 0 ou supprimer la clé. Encore une fois, vous pouvez directement enregistrer le fichier .reg suivant afin de procéder à la manipulation sans avoir à exécuter l’Editeur de Registre, ou le télécharger.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
“WriteProtect”=dword:00000001

Illustration 35 – Clé, valeur et donnée de valeur pour interdire l’emploi des périphériques amovibles usb

Encore une fois, il sera nécessaire de redémarrer le système. La manipulation est donc relativement simple, et peut-être cumulée à titre de précaution à d’autres méthodes d’interdiction d’emploi des périphériques amovibles : comme la désactivation stricte du matériel, etc.

Comme annoncé, la désactivation complète de l’emploi des périphériques amovibles me semble être une fausse bonne idée. Aujourd’hui l’interaction domicile/bureau où les utilisateurs travaillent et surfent tant à la maison qu’au travail ne permet pas objectivement de définir cette méthode pertinente. Il n’y a que dans certains cas de figure, très précis, que la manipulation est réellement concluante. Le fait d’interdire l’écriture sur les périphériques pourrait se révéler intéressant dans le cas d’un système comportant des données sensibles, et où l’utilisateur serait autorisé à s’y brancher sans pouvoir en copier des données.

Comme expliqué dans la deuxième partie expliquant le fonctionnement de la fonction Autorun de Windows, les infections utilisant ce système de propagation vont chercher à infecter les périphériques amovibles, en y rajoutant leur propre fichier de propagation Autorun.inf et leurs fichiers infectieux.

Nous ne pourrons jamais, exhaustivement, empêcher l’écriture des fichiers infectieux sur les supports amovibles -à moins de complètement désactiver l’écriture sur ces derniers, sous réserve d’avoir la main sur la configuration du système hôte. Ce serait un réel travail d’antivirus d’être en mesure de reconnaître tout fichier infectieux se copiant-collant sur le support amovible : noms et extensions aléatoires, méthodes de compression différentes les unes des autres, etc. Nous laisserons donc la partie des éléments réellement infectieux à l’antivirus présent sur le système hôte accueillant le périphérique amovible.

A défaut donc de pouvoir empêcher la propagation en elle-même sur le support, nous pouvons supprimer le fichier responsable de la propagation ultérieure (du support nouvellement infecté vers un système sain) : le fameux fichier Autorun.inf dont le nom est invariable pour être fonctionnel. Le principe retenu est simple : créons-le avant qu’une infection ne le crée, et faisons en sorte que l’infection ne puisse écraser notre fichier.

S’abonner
Notifier de
guest
12 Commentaires
plus ancien
plus récent Le plus populaire
Commentaires en ligne
Voir tous les commentaires
arkanax

très bon travail d’information,merci 😉

Gof

Merci du commentaire arkanax 🙂

jeje cordao

super travail, bien détaillé, par contre j’ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
Qu’elle est votre opinion sur ce petit utilitaire.

et encore merci aux nomx de tous

Gof

Bonsoir jeje cordao 🙂 Merci du commentaire. En effet, ce petit logiciel permet d’automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d’automatiser facilement les conseils suggérés du PDF. J’en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof. Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d’appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l’aise ou plus pressés, l’outil USB-SET… Lire la suite »

Gof

Bonsoir,

Le document est à présent disponible sur le lien suivant : cliquer ici.

Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.

dzork

Bonjour et merci pour cette info.
Par contre, j’aimerais savoir s’il est possible de bloquer l’écriture d’un seul port usb sans bloquer les autres ports.

cordialement.

hossec

Bonsoir, Tout d’abord merci pour votre tuto. Cependant je rencontre un problème pour créé le bat. J’ai rajouté des lignes comme vous l’avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu’un seul répertoire Voici mon bat: chcp 1252 @echo off del /q %temp%rapportVacUSB.txt echo %date% – %time% – Vaccin USB – Gof>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt goto lecteur :vaccon echo Répertoires et fichiers vaccins :>>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt FOR /f %%g in (%temp%lecteur.txt) do for /f %%h in (%temp%nomrep.txt) do ( if exist "%%g%%h" echo %%g%%h Present >> %temp%rapportVacUSB.txt if exist "%%g%%h" attrib.exe -h -r -s -a "%%g%%h"… Lire la suite »

Gof
hossec a dit :

(…) Pouvez vous me précisez ou j’ai fait une erreur

Bonjour hossec 🙂

Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.

Je réponds dans ton sujet hossec 😉

Gof
dzork a dit :

(…) Par contre, j’aimerais savoir s’il est possible de bloquer l’écriture d’un seul port usb sans bloquer les autres ports.
cordialement.

Bonjour 🙂

Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n’ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d’interdire l’écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j’ai proposée, car cette dernière ne permet pas cette distinction.

Yann

Bonjour, Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui ! – VaccinUSB_On-Off_Select_Drive.bat – VaccinUSB_On-Off_All_Drive_and_Registre.bat Citation Les 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l’option d’installer ou de désinstaller le vaccin. Le nomrep à la fin des scripts pour simplifier l’ajout (la liste de nomrep est la même que l’actuel VaccinUSB.exe ) La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l’affichage registre au sujet de l’autorun (section :examreg du script). La version "Select Drive" demande le lecteur sur lequel l’on veut installer ou… Lire la suite »

Gof

Merci à Jean-Michel 🙂

ZebIxe

Cette information vaut de l’or pour moi: je n’ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l’or… sauf qu’il est un peu tard pour moi pour l’appliquer. Éprouvant actuellement un problème d’amorçage sous OS W7 32 bits et comme tout bon internaute, j’ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n’ont malheureusement pas réglé mon problème qui consiste: message d’erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d’erreur STOP: OX…ED et la suite) Rien n’y fait: disque de… Lire la suite »

12
0
Nous serions ravis d'avoir votre avis, laissez un commentaire !x