Non, Spotify, vous n'auriez pas dû envoyer de mystérieuses clés USB aux journalistes – TechCrunch

La semaine dernière, Spotify envoyé un certain nombre de clés USB aux journalistes avec une note: "Jouez-moi."

Il n'est pas rare que les journalistes reçoivent des clés USB par la poste. Les entreprises distribuent des clés USB tout le temps, y compris lors de conférences techniques, contenant souvent du matériel promotionnel ou des fichiers volumineux, tels que des vidéos qui seraient autrement difficiles à mettre entre autant de mains que possible.

Mais toute personne ayant une formation de base en matière de sécurité sous son chapeau – ce que nous faisons ici chez TechCrunch – saura ne jamais brancher une clé USB sans prendre quelques précautions au préalable.

Préoccupés mais non découragés, nous avons examiné en toute sécurité le contenu du lecteur à l'aide d'une version jetable d'Ubuntu Linux (à l'aide d'un CD live) sur un ordinateur de rechange. Nous avons examiné le lecteur et trouvé qu'il était bénin.

Sur le disque dur se trouvait un seul fichier audio. "Voici Alex Goldman, et vous venez d'être piraté", a expliqué le fichier.

Le disque n'était qu'une promotion pour un nouveau podcast Spotify. Parce que c'était le cas.

La clé USB que Spotify a envoyée aux journalistes (Image: TechCrunch)

Jake Williams, un ancien hacker de la NSA et fondateur de Rendition Infosec, a qualifié cette décision de «incroyablement sourde» pour encourager les journalistes à brancher les disques sur leurs ordinateurs.

Les clés USB ne sont pas intrinsèquement malveillantes, mais sont connues pour être utilisées dans des campagnes de piratage – comme les centrales électriques et les usines d'enrichissement nucléaire – qui ne sont généralement pas connectées à Internet. Les clés USB peuvent héberger des logiciels malveillants qui peuvent s'ouvrir et installer des portes dérobées sur l'ordinateur d'une victime, a déclaré Williams.

"Les fichiers sur l'USB lui-même peuvent contenir du contenu actif", a-t-il déclaré, qui, une fois ouvert, peut exploiter un bogue sur un appareil affecté.

Un porte-parole de Spotify n'a pas commenté. Au lieu de cela, il a transmis notre demande à Sunshine Sachs, une société de relations publiques qui travaille pour Spotify, qui ne commenterait pas le dossier au-delà du fait que "tous les journalistes ont reçu un e-mail indiquant que c'était en route".

Le branchement de lecteurs USB aléatoires est un problème plus important que vous ne le pensez. Elie Bursztein, un chercheur en sécurité de Google, a découvert dans ses propres recherches qu'environ la moitié de toutes les personnes se connecteraient à leur ordinateur sur des clés USB aléatoires.

Plus tôt cette année, John Deere a provoqué un chahut après avoir distribué un lecteur de promotion qui a activement détourné le clavier de l'ordinateur. Le lecteur contenait du code qui, une fois branché, exécutait un script, ouvrait le navigateur et tapait automatiquement le site Web de la société. Même si le lecteur n'était pas intrinsèquement malveillant, la décision a été fortement critiquée, car les logiciels malveillants agissent souvent de manière automatisée et scriptée.

Compte tenu des menaces que peuvent représenter les clés USB, la division de la cybersécurité de Homeland Security, CISA, a mis à jour le mois dernier ses directives sur la sécurité des clés USB. Les journalistes sont parmi ceux qui sont des cibles fréquentes de certains gouvernements, notamment des cyberattaques ciblées.

N'oubliez pas: prenez toujours des précautions lorsque vous manipulez des clés USB. Et n'en branchez jamais un à moins d'y avoir confiance.

Traduit de la source : https://techcrunch.com/2019/12/23/spotify-usb-drives-journalists/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.