11
Juil, 2024

Fausse Rubber Ducky pour expliquer pourquoi se méfier des clés USB inconnues

Quel est mon objectif ?

Dans le contexte de formations aux utilisateurs informatiques, il est crucial de les sensibiliser aux risques liés à l’utilisation de clés USB inconnues.

Pour marquer les esprits, une démonstration pratique est souvent plus efficace qu’un simple discours. C’est pourquoi je souhaite programmer une clé USB capable de simuler des dommages sur un ordinateur, afin de montrer concrètement les dangers encourus.

Nota : A la demande de certains d’entre vous, je vous propose de réaliser pour vous la création de cette fausse clé, vous la trouverez donc toute prête, programmée et opérationnelle dans mon vide-grenier. Evidemment, elle n’est pas dangereuse !! Lisez la suite pour comprendre ce qu’elle fait.

Que sont des Rubber Ducky ?

Les Rubber Ducky sont des clés USB conçues pour simuler un clavier lorsqu’elles sont connectées à un ordinateur. Elles sont souvent utilisées par les pirates informatiques pour effectuer des attaques de type “keystroke injection” (injection de frappe), qui consistent à simuler des frappes de clavier pour exécuter des commandes malveillantes sur un ordinateur cible.

Les Rubber Ducky sont équipées d’un microcontrôleur programmable qui peut stocker des scripts préenregistrés. Lorsqu’elles sont connectées à un ordinateur, elles se comportent comme un clavier USB standard et peuvent envoyer des séquences de touches préenregistrées à une vitesse très élevée, ce qui permet d’exécuter des commandes complexes en quelques secondes seulement.

Les Rubber Ducky sont souvent utilisées pour des tests d’intrusion ou des démonstrations de sécurité informatique, mais elles peuvent également être utilisées à des fins malveillantes, comme le vol de données ou l’installation de logiciels malveillants. Il est donc important de sensibiliser les utilisateurs aux risques liés à l’utilisation de clés USB inconnues et de prendre des mesures de sécurité appropriées pour protéger les ordinateurs contre les attaques de type “keystroke injection”.

Comme expliqué dans le paragraphe précédent, mon objectif est de sensibiliser les utilisateurs d’outils informatiques et leur démontrant la dangerosité d’insérer une clé USB inconnue dans leur ordinateur.

Pourquoi je parle de fausse Rubber Ducky ?

Les Rubber Ducky sont hors de prix et je cherche une solution abordable pour que le plus grand nombre puisse acheter une clé de sensibilisation. Personne ne mettre ces prix :

Quel équipement ai-je choisi ?

Je vais utiliser un équipement beaucoup plus léger car il n’a que 6k de mémoire, mais cela est suffisant, je ne vais pas lancer de script complexe. C’est un Digispark ATTINY85.

Cet équipement est abordable et fonctionnel.

Sa configuration est un peu complexe, il faut utiliser des drivers qui sont détectés comme dangereux, j’ai documenté sa programmation sur un RetEx il y a quelques temps.

Que va faire cette clé quand on la connecte ?

Le principe de cette fausse clé USB c’est d’exécuter un script au moment où on l’insère.

Evidemment les pirates vont installer un programme malveillant ou vont exfiltrer des données et les envoyer par internet. Ce n’est pas ce que je vais faire, je veux quelque chose de graphique et visuel qui symbolise une intrusion, un piratage en cours et des messages à l’écran.

C’est réellement à cette étape qu’il a fallu que je choisisse quelle actions “classiques” allaient être assez spectaculaires pour faire flipper un utilisateur.

Voici ce que j’ai choisi, cette vidéo illustre ce qu’il se passe quand on insère la clé (plus du son qui ne s’entend pas sur cette capture d’écran) :

J’ai réalisé quelques clés, elles sont à votre disposition

Evidemment, rien de commercial dans tout cela. Dans un but pédagogique, je vous invite à réaliser la démonstration auprès de vos enfants, parents, amis, collègues. Après la démonstration, ils n’insèreront plus une clé inconnue dans leur ordinateur.

J’ai fait réaliser par une société qui fait de l’impression 3D un petit boitier pour insérer le Digispark, le protéger et lui donner l’aspect d’une clé USB. Je suis très fier du résultat :

Au bout de la clé, il y a un trou pour l’ajouter à un trousseau de clés par exemple et sur l’autre côté, il y a deux trous qui permettent de laisser passer la lumière de la LED verte et de la LED rouge.

Le Digispark coûte entre 4 et 5€, l’impression 3D, hors frais de contrôle coute entre 1 et 2€ les deux éléments. Une enveloppe papier bulles (0.20€) et un timbre à 1.29€.

Pour ceux qui me l’ont demandé, je peux arriver donc à faire un lot clé USB programmée + envoi payé à 8.50€.

J’en ai réalisé 5, j’en garde 1 donc si vous en voulez une, contactez moi.

Je les place dans le vide grenier, je suis joignable avec le pseudo Sigalou sur HACF, Jeedom community, Discord, mon mail est donné dans le premier paragraphe du vide grenier.

 

 

 

11
Mai, 2024

Je veux sensibiliser au danger des clés USB inconnues

Mon objectif

Dans le contexte de formations aux utilisateurs informatiques, il est crucial de les sensibiliser aux risques liés à l’utilisation de clés USB inconnues.

Pour marquer les esprits, une démonstration pratique est souvent plus efficace qu’un simple discours. C’est pourquoi je souhaite me procurer une clé USB capable de simuler des dommages sur un ordinateur, afin de montrer concrètement les dangers encourus.

Les Rubber Ducky sont des clés USB utilisées par les pirates informatiques, mais leur coût est souvent prohibitif. Je cherche donc une solution plus économique pour créer cet outil de sensibilisation.

En somme, je souhaite trouver une alternative abordable aux Rubber Ducky pour sensibiliser les utilisateurs aux risques liés à l’utilisation de clés USB inconnues, en utilisant une clé USB capable de simuler des dommages sur un ordinateur. Lire la suite

24
Avr, 2024

Je bloque le ping de son adresse IP (ICMP)

Pour identifier les futures victimes sur le web, les pirates tentent assez naturellement de vérifier si l’IP existe et si un équipement est derrière.

Pour vérifier cela, le plus simple, c’est un ping de l’adresse IP.

J’ai une IP fixe Free et je suis une victime potentielle si je me fais repérer. Cela en fonction également des redirections de ports que je vais définir sur mon routeur (si je veux consulter mes caméras ip depuis l’extérieur, accéder à Home Assistant, Jeedom, si j’héberge mon site internet, …) Lire la suite

6
Avr, 2024

Lancer une simulation d’hameçonnage à visée pédagogique sur un Tenant Microsoft 365 avec Gophish

Mon objectif

Afin de sensibilisé les utilisateurs du tenant Microsoft 365 que j’utilise, j’ai cherché comment créer une campagne de Phishing (hameçonnage) pour les “piéger” et déclencher une formation sur ce sujet.

Les messages de prévention et les campagnes d’hygiène numérique ne suffisent pas, il faut un fait concret pour tenter de déclencher une prise de conscience. Lire la suite

14
Déc, 2023

Je mets en place mon gestionnaire de mots de passe sur tous mes ordinateurs et smartphone

J’ai choisi KeepassXC + Keepass2Android avec authentification Yubikey

Mon cahier des charges

  • Choisir un gestionnaire de mot de passe gratuit et sécurisé (encore mieux certifié ANSSI)
  • Permettre de partager une modification de mot de passe instantanément sur tous mes appareils, smartphone inclus, éviter les réplications de fichiers
  • Ne pas utiliser les solutions propriétaires (non open source) qui pourraient héberger mes données quelque part dans le monde
  • Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spéciaux à taper 5 fois par jour
  • Sécuriser l’ouverture de la base de données via une Yubikey unique sur tous les appareils
  • Si la Yubikey est perdue ou cassée, avoir une solution de secours
  • Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe à saisir et encore mieux, que la double authentification à base de TOTP (mot de passe à usage unique basé sur le temps) soient calculés et complétés sur le même principe.
  • Que les nouveaux login/mot de passe soient ajoutés dans la base facilement et les mises à jour détectées et corrigées dans la base.

Lire la suite

2
Avr, 2022

Gestion des mots de passe Web

98% des utilisateurs qui ne souhaitent pas apprendre par cœur leurs centaines de mots de passe enregistrent leurs mots de passe dans leur navigateur.

En cas de perte de l’ordinateur ou d’attaque du PC, ces informations sont livrées en clair…

Il est nécessaire de répéter des évidences : Les navigateurs internet ne sont pas des outils de stockage de mot de passe sécurisés. Ils servent à naviguer sur internet et n’ont pas comme mission de sécuriser vos informations. Lire la suite