La Clé Usb

 Des explications techniques sur CERTA :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/CERTA-2006-INF-006.html

le mécanisme de fonctionnement

Les médias amovibles ou périphériques de masses comme une clé USB (mémoire de stockage), l'infection s'en prends au fichier présent à la racine du support appelé Autorun.inf qui au lancement de celui ci se déclenche.
Cette infection va se dupliquer par exemple en utilisant une clé USB, le faite de mettre une clé saine sur un PC infecté est suffisant pour infecter celle ci qui vas contaminer le PC suivant. La duplication de cette infection se réalise avec une infection au attribut modifier "cachés", "système" permettant de ce masquer de l'utilisateur, ce qui vas poser des problèmes à la désinfection. Si nous avons des fichiers à récupérer sur une clé infecté il est conseillé de ne pas exécuter l'autorun.

Exemple : Worm Autorun, Brontok, Mazebat 

Lorsque vous connectez un disque amovible (clé USB, CD, DVD, carte mémoire...), la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume.
Ceci se produit lorsque l'exécution automatique à l'insertion d'un disque amovible est activée. (ce qui veut dire que l'on peut désactiver cette fonction !)
Windows va donc lire le contenu de ce fichier et s'il y trouve des commandes de lancement de programmes il va exécuter ces commandes.
Si ces commandes lancent un ou plusieurs fichiers infectieux (fichiers en général cachés) votre PC va se trouver infecté.

 les moyens pour s'en protéger

Un antivirus sur PC, évite l'infection à partir de l'USB si analyse par insertion comme Avast 9
Un Antivirus sur notre clé USB afin de ne être infecté à partir d'un ordinateur

La vaccination à l'aide de UsbFix : La vaccination consiste à créer des dossiers portant le nom des fichiers infectieux les plus courants, et surtout un dossier verrouillé en lecture seule portant le nom autorun.inf pour bloquer le mécanisme de propagation de ce type d'infection. L'infection ne pourra écraser un fichier/dossier existant et ne pourra donc pas se propager !

Verrouiller la clé en écriture après installation de vos outils ou des documents à préserver.

Moins agréable car moins pratique dans l'utilisation : 

Il est préférable de désactiver l'autorun par défaut de windows. (possible aussi avec l'outil BitDefender Autorun Blocker )
Menu démarrer -> panneau de configuration -> affichage petites icônes -> exécution automatique -> décocher ' Utiliser l'exécution automatique pour les médias et tous les périphériques' -> enregistrer
Relancer l'ordinateur pour la prise en compte.
Analyser la clé USB
Ensuite pour la désinfection on peux utiliser l'outil UsbFix ou RAV d'Evosla ou celui de Panda USB ou autres pour une infection comme le ver Rjumb .

certaines vulnérabilités à corriger :
"Le lancement automatique depuis les disques durs est activé"
"Le lancement automatique depuis les disques réseau est activé"
"Le lancement automatique depuis le CD/DVD est activé"
"Le lancement automatique depuis les lecteurs amovibles est activé"
"Microsoft Internet Explorer : désactiver la mise en mémoire tampon des données reçues via le canal protégé"
"Microsoft Internet Explorer : désactiver l'envoi de rapports sur les erreurs"
"Microsoft Internet Explorer : purger la liste des exclusions du blocage de fenêtres pop-up"
"Microsoft Internet Explorer : activer la purge automatique du cache au moment de quitter le navigateur"
"Microsoft Internet Explorer : purger la page d'accueil"

MPSK : (MountPoints2 Search Key) 
Permet d' authentifier les infections en provenance des ports USB.
A l'aide des clés utilisateurs comme

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d9f48ee-f5f0-11e1-abbd-000b0d0be93c}

et sous clés

- "AutoRun\command",

- "explore\command",

- "open\command"

- "Browser\command", v1.20.2

- "Auto\command", v1.20.2

L'autorun fonctionne selon le principe suivant.
Lorsqu'un nouveau média est détecté à l'insertion d'une clé USB, le système crée une clé de registre au format suivant :
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/<ID> qui représente un identifiant unique pour le média.

En fonction du fichier autorun.inf détecté, cette clé sera peuplée de sous-clés décrivant les programmes à exécuter. Ainsi, si dans le fichier autorun.inf on met la ligne suivante :

[autorun]
shell\open\command=calc.exe
alors la clé suivante sera créée :
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/<ID>/Shell/open/command

avec une valeur par défaut qui sera calc.exe.

Lorsque ces clés sont supprimées, l'autorun ne fonctionne pas tant que le média n'est pas réinséré, ou que l'ordinateur est redémarré avec le média connecté.

La clé HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/<ID>
n'est jamais supprimée par le système. Les sous-clés, décrivant les paramètres décrits dans le fichier autorun.inf peuvent toutefois être supprimées dans certains cas. 

Exemple :

lorsqu'un média est inséré, les sous-clés qui existent pour ce média sont supprimées puis recréées (donc écrasées) ;
lorsqu'un ordinateur est démarré avec le média inséré, les sous-clés sont supprimées ;
lorsque l'explorateur énumère les médias (ouverture du poste de travail, par exemple) pour la première fois, les sous-clés sont peuplées.
Ainsi, en règle générale, MountPoints2 contient tous les médias insérés dans l'ordinateur et les paramètres d'autorun détectés. Ceci en fonction de l'utilisateur connecté, car c'est une clé dans la ruche HKEY_USERS.

Attention : la désactivation totale du support de l'USB perturbe aussi la connectique de la souris et du clavier en USB.