La lutte contre le vol de fichiers passe par le contrôle des ports USB

Par 22 février 2010
Mots-clés : Smart city

Le logiciel développé par une équipe grecque identifie les clés USB suspectes, c'est-à-dire comme n'appartenant pas à l'utilisateur habituel du poste. Il vérifie alors si des documents ont été copiés peu après son insertion.

L’action de récupérer d’importantes quantités de documents via une clé USB ou un appareil de stockage équivalent (lecteur Mp3, PDA...) - le "pod slurping" - constitue une menace de plus en plus importante pour les entreprises. La copie étant effectuée en interne, elles n’ont souvent aucun moyen de savoir si des fichiers ont été dérobés. Deux chercheurs de l’université Democritus de Thrace veulent apporter une solution à ce problème : ils travaillent sur un système identifiant les copies de fichiers. "Cela permettra de savoir quels fichiers ont été copiés, quand et comment", assure à L’Atelier Vasilios Katos, l'un des deux scientifiques. Ils se sont intéressés au cas particulier d’ordinateurs ne disposant d’aucun système de contrôle des ports USB et où la personne ayant dérobé des documents n’en est pas l’utilisateur habituel.
Repérer les clés suspectes
Dans un premier temps nous allons récupérer des informations stockées dans le registre de l’ordinateur", explique Vasilios Katos. "Nous repérons les clés suspectes, c’est à dire n’appartenant pas à l’utilisateur habituel". Il est ainsi possible d’accéder au numéro de séries (pour celles qui en sont équipées) et la date de la dernière utilisation sur l’ordinateur considéré. Le système va ensuite scanner les fichiers et les dossiers de l’ordinateur et repérer ceux qui ont été déplacés dans un laps de temps proche de celui de l’insertion de la clé suspecte. "On obtient alors un calendrier d’évènements avec la taille des fichiers, leur nom et la date de leur dernier déplacement", explique le chercheur. Si les fichiers ont été copiés, les heures d’accès vont se succéder de manière régulière, en fonction du débit propre à la clé utilisée.
Une solution qui pourrait venir enrichir les systèmes existants
"Même si un dossier complet a été téléchargé, les fichiers auront quand même été copiés un par un", précise-t-il. De ces informations, on peut donc déduire le "débit" de la clé utilisée, les fichiers qui ont été déplacés et la date de leur déplacement. Couplé avec le numéro de série de la clé en question, il devient possible d’identifier une taupe éventuelle. Le logiciel viendra enrichir les systèmes de détection des anomalies existants. S’il ne produit quasiment aucune fausse alerte, les chercheurs reconnaissent que son efficacité dépend de beaucoup d’éléments. Par exemple, certains systèmes d’exploitation comme Windows Vista ne gardent pas de trace des heures de déplacements, rendant le système caduc.

Mentions légales © L’Atelier BNP Paribas