Protéger vos ports USB sous Linux : Guide expert contre les malwares et USB Killer

L'Universal Serial Bus (USB) a révolutionné nos interactions avec les appareils grâce à sa simplicité plug-and-play. Cependant, les clés USB représentent un risque majeur : vecteurs d'infection pour virus et malwares sur des réseaux entiers.

Le périphérique USB Killer illustre ces dangers : il surcharge les ports USB par une tension brutale, pouvant détruire ports et carte mère. Découvrez comment atténuer ces risques sous Linux.

Les bases de la sécurité USB

Avant les configurations avancées, adoptez ces règles simples :

• Ne branchez jamais une clé USB trouvée ou offerte par un inconnu.
• Préférez les transferts via cloud avec des contacts fiables.
• Utilisez uniquement des clés de marques reconnues (Samsung, SanDisk, etc.).
• Ne laissez jamais votre ordinateur sans surveillance.

Ces mesures couvrent la majorité des cas. Pour une protection renforcée, passez aux étapes suivantes.

Protégez votre BIOS

Pour une machine laissée sans surveillance, un BIOS verrouillé par mot de passe empêche le boot sur une clé USB bootable, protégeant ainsi les fichiers non chiffrés. Sur Windows, cela bloque même la réinitialisation des mots de passe.

Accédez au BIOS (souvent via Suppr au démarrage ; consultez la doc du fabricant). Activez le mot de passe dans la section Sécurité.

USBGuard : Protection avancée contre BadUSB

USBGuard protège contre les attaques BadUSB (périphériques malveillants mimant claviers ou cartes réseau pour injecter commandes ou modifier DNS). Il utilise le noyau Linux pour bloquer les USB non autorisés via listes blanche/noire.

Sur Ubuntu 16.10+, installez-le :

sudo apt install usbguard

Générez une politique initiale :

usbguard generate-policy > rules.conf
nano rules.conf

Examinez et éditez le fichier (supprimez les périphériques non désirés), puis :

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf
sudo systemctl restart usbguard

Testez USBGuard

Branchez un périphérique : il est détecté (via lsusb) mais non monté.

Éditez /etc/usbguard/rules.conf :

sudo nano /etc/usbguard/rules.conf

Ajoutez l'ID (ex. SanDisk) :

Redémarrez :

sudo systemctl restart usbguard

Rebranchez : l'appareil est autorisé.

Pour plus de précision :

allow id 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"
reject via-port "1-2"

Cette règle n'autorise que ce périphérique précis sur ce port.

Protections physiques

USBGuard ne stoppe pas l'USB Killer. Utilisez un hub USB bon marché : il se sacrifie à la place de votre PC. Ou optez pour un USG (USB Security Gateway), filtre hardware compatible souris/clavier/clés USB.

Est-ce excessif ?

Dépend de votre contexte. Si vous contrôlez tous les périphériques, c'est idéal. Heureusement, des outils existent pour prévenir ces menaces.

Avez-vous rencontré des problèmes USB ? Partagez vos mesures de sécurité en commentaires !

Crédits image : Frantisek Keclik/Shutterstock