Fuite de données : Les périphériques de stockage USB

Ces dernières années, la consumérisation de l’informatique n’a fait qu’aggraver le problème. Récemment encore, je déambulais dans le rayon électronique d’un magasin Target aux Etats-Unis et j’ai vu des disques durs USB de 250 Go en vente au prix de 25 $. C’est une sacré bonne affaire, mais reconsidérez la question du point de vue d’une personne mal intentionnée. Elle pourra, pour un prix dérisoire, dérober des centaines de giga-octets de données. Et, comme si les choses n’étaient pas suffisamment difficiles, Windows est conçu pour rendre le vol le plus simple possible.

Il suffit de brancher le disque dur USB pour que l’OS le reconnaisse automatiquement et prépare son utilisation. Pas besoin de se soucier d’installer des pilotes ou de formater le disque. Ainsi, toute personne ayant un minimum de connaissances en informatique peut tout à fait dérober des quantités importantes de données.

Dans ce contexte, comment prévenir les fuites de données via USB ? Plusieurs solutions sont envisageables. Une d’elles consiste à employer les paramètres de stratégie de groupe (Group Policy) afin de contrôler les accès via USB. Malheureusement, cette option n’a rien de mirobolant. En effet, l’accès aux périphériques USB sous Windows XP et Windows Vista est contrôlé par un ID matériel. La création d’une stratégie de restriction n’a donc rien de pratique car chaque marque et modèle de périphérique USB possède son propre ID matériel. Certaines entreprises ont instauré des stratégies qui bloquent tous les matériels à l’exception de ceux considérés comme indispensables. Toutefois, la gestion d’une telle stratégie est fastidieuse et il est facile de commettre une erreur qui entraînera une désactivation de vos postes de travail.

L’autre problème de ce type de stratégie est qu’il est conçu pour empêcher l’installation de périphériques USB. Ainsi, si un périphérique de stockage USB a déjà été employé sur un PC, ce dernier contient déjà les clés de Registre requises et l’utilisateur pourra continuer de s’en servir, à moins de créer des stratégies distinctes bloquant les pilotes de périphériques.

Les choses se sont légèrement améliorées dans Windows 7 et Windows Server 2008. Ces OS proposent des stratégies qui restreignent l’accès en écriture vers des périphériques de stockage amovibles. Néanmoins, cela peut encore être insuffisant pour les entreprises qui ont besoin d’une granularité très fine du contrôle des périphériques (cf. la figure 1).

Une solution plus judicieuse consiste à employer un produit tierce partie conçu spécifiquement pour empêcher l’utilisation de périphériques de stockage USB. Le seul outil que j’ai employé personnellement est GFI End-PointSecurity (gfi.com/endpointsecurity) et il fait du bon travail. D’autres outils comparables sont disponibles auprès d’autres éditeurs.