Dans un monde où la connectivité est omniprésente et où les menaces informatiques se multiplient, la cybersécurité devient une préoccupation majeure pour les entreprises et les organisations. Parmi les nombreuses stratégies de protection, les stations blanches se distinguent comme un rempart essentiel pour réduire les vulnérabilités liées aux supports amovibles et aux données transférées. Dans cet article, nous explorerons en détail le concept des stations blanches et leur rôle crucial dans la défense contre les cybermenaces.

I) Comprendre les Stations Blanches

Qu’est-ce qu’une station blanche ?

Une station blanche, dans le domaine de la cybersécurité, est un dispositif spécialement conçu pour l’analyse et la décontamination de médias amovibles tels que les clés USB et les disques externes. Elle agit comme un poste de travail ou un serveur isolé du réseau opérationnel, dédié à garantir l’innocuité des données transférées vers le réseau principal. En d’autres termes, elle représente une solution autonome d’analyse et de nettoyage.

L’importance des Supports Amovibles

Dans un environnement professionnel moderne, les supports amovibles sont devenus monnaie courante. Cependant, leur utilisation comporte des risques significatifs. Environ 70 % des salariés utilisent des clés USB provenant de l’extérieur et les connectent aux réseaux d’entreprise. Les infections par des supports USB représentent environ 30 % de toutes les menaces, allant du sabotage industriel aux ransomwares, en passant par le vol de propriété intellectuelle et la destruction de données.

II) Les Menaces Liées aux Supports Amovibles

La vulnérabilité des supports amovibles ne peut être sous-estimée. Les menaces associées incluent :

• Insertion de fichiers malveillants : Les attaquants peuvent insérer des fichiers malveillants dans le système d’information à protéger lors du transfert de données vers un support amovible.

• Attaques en intégrité/confidentialité : Les données transférées sur un média amovible peuvent être compromises en termes d’intégrité et de confidentialité.

• Attaques au niveau de la pile logicielle : Certains médias amovibles peuvent réaliser des attaques au niveau du logiciel du média, mettant ainsi en danger le système.

• Attaques en déni de service : Des médias peuvent causer des attaques de déni de service au niveau du contrôleur de média, entraînant une interruption des opérations.

• Médias se faisant passer pour des périphériques : Des médias peuvent se comporter comme des périphériques de type clavier ou souris, facilitant ainsi la propagation de fichiers malveillants.

III) Objectif : Réduction de la Surface d’Attaque

Les stations blanches visent à réduire la surface d’attaque en isolant les médias amovibles du réseau opérationnel. Leur configuration est adaptable en fonction des politiques de sécurité de l’entreprise. Elles offrent plusieurs avantages :

• Implémentation dans un périmètre défini : Les stations blanches s’implémentent facilement dans des périmètres définis, améliorant ainsi la sécurité des sites.

• Sensibilisation et communication : Les stations blanches permettent la sensibilisation et la communication auprès des collaborateurs en utilisant leur écran pour diffuser des messages sur la cybersécurité.

IV) Exemple d’Environnement : Production Industrielle

La réduction de la surface d’attaque est cruciale dans les environnements de production industrielle qui nécessitent l’utilisation de supports amovibles tels que les clés USB ou les périphériques d’entrée.

a) Premier Cas de Figure

Dans certains cas, les ports USB d’une entreprise sont restreints aux seuls usages de la souris et du clavier. Malheureusement, cela ne bloque pas l’accès aux supports USB malveillants, comme les Bad USB, qui simulent des périphériques de type clavier.

b) Deuxième Cas de Figure

Dans d’autres situations, une entreprise peut rencontrer une indisponibilité des accès réseau et Internet. Le seul moyen de mettre à jour et d’échanger des informations est alors l’utilisation de supports amovibles. La surface d’attaque est réduite par rapport à Internet, mais elle reste bien réelle.

V) Les Solutions d’Utilisation

Comment Assurer une Sécurité Optimale ?

Face aux menaces liées aux supports amovibles, les entreprises cherchent des moyens de garantir la sécurité, même en l’absence de garanties sur la provenance d’un périphérique. C’est là qu’interviennent les stations blanches.

Le principe fondamental est le suivant : la mise en place d’un sas de sécurité permettant le scan, le nettoyage et la détection des Bad USB permettrait, dans un premier temps, de s’assurer du niveau d’intégrité d’un support. Ensuite, grâce à un agent autonome installé sur les postes de travail, il est possible de restreindre l’accès aux ports USB non analysés, n’autorisant que les supports USB certifiés par le sas de décontamination.

a) Exemple d’Utilisation dans un Environnement à Deux Clés

Dans ce scénario, l’utilisateur insère un support amovible externe dans la station blanche et sélectionne les éléments à transférer. Si ces éléments respectent la politique de sécurité, ils sont transférés sur un support maîtrisé. Ce dernier est ensuite branché sur le poste de travail, où il est vérifié pour la présence d’un média maîtrisé et son traitement préalable par la station blanche. L’utilisateur authentifié peut ensuite récupérer les éléments en toute sécurité.

b) Exemple d’Utilisation dans un Environnement en Mode SAS (Software as a Service)

Dans un scénario SAS, l’utilisateur insère un support amovible externe dans le sas et sélectionne les éléments à transférer. Si ces éléments respectent la politique de sécurité, ils sont transférés dans un espace d’échange. Un utilisateur authentifié du réseau opérationnel peut ensuite récupérer ces éléments sur l’espace d’échange et les insérer en toute sécurité dans le réseau.

VI) Biens Sensibles à Protéger et Menaces

a) Les Attaquants à Considérer

Lorsqu’il s’agit de la protection des stations blanches, plusieurs acteurs malveillants doivent être pris en compte, notamment :

• Utilisateurs légitimes : Ce sont les utilisateurs du produit ayant accès à ce dernier et insérant un média compromis ou commettant une erreur de manipulation.

• Utilisateurs non autorisés : Toute personne pouvant accéder physiquement au produit en exploitation.

• Attaquants avec des droits d’administration : Ces attaquants ont réussi à compromettre le compte d’un administrateur, ce qui leur donne un certain niveau de contrôle.

b) Les Menaces à Considérer

Plusieurs menaces peuvent peser sur les stations blanches, notamment :

• M1 Compromission : Un attaquant peut prendre connaissance ou altérer des biens sensibles en termes de confidentialité ou d’intégrité.

• M2 Contournement : Les attaquants peuvent contourner la politique de sécurité du produit pour transférer illégitimement des données.

• M3 Usurpation d’identité : Les attaquants peuvent usurper l’identité d’un utilisateur ou d’un administrateur du produit.

• M4 Indisponibilité : Un attaquant peut rendre indisponible tout ou partie des fonctions de sécurité du produit temporairement ou définitivement.

• M5 Corruption d’une mise à jour : Les attaquants peuvent corrompre une mise à jour pour altérer le fonctionnement du produit.

• c) Couverture des Biens par les Menaces

  Lorsqu’il s’agit de la protection des stations blanches, il est essentiel de comprendre quelles menaces peuvent affecter les biens sensibles. Cela inclut la compromission, le contournement, l’usurpation d’identité, l’indisponibilité, la corruption d’une mise à jour, la corruption des journaux d’évènements et la corruption des journaux de transfert de fichiers. Chacune de ces menaces doit être évaluée et atténuée pour garantir la sécurité du système.

  VII) Les Solutions Françaises

  Aujourd’hui, deux solutions françaises sont certifiées par l’ANSSI pour la protection des stations blanches : KUB (Kiosk for Universal Blocking – Kub Cleaner) et Malware Cleaner d’Orange.

  Ces solutions fonctionnent de manière similaire, composées de trois éléments principaux : une station blanche pour l’analyse et la décontamination des supports USB, un serveur de gestion pour la coordination des bornes et un agent WorkStation Protect pour bloquer les périphériques externes non analysés.

  Particularités de KUB :

  • Deux moteurs antivirus intégrés et possibilité d’en ajouter jusqu’à cinq.
  • Analyse du stockage des smartphones Android.

  Particularités de Malware Cleaner :

  • Huit antivirus intégrés.
  • Option d’analyse à distance des fichiers par simple glisser-déposer.
  • Détection des virus dans les applications Android.

  Similarités :

  • Détection des Bad USB, des malwares et des adwares.
  • Communication avec le serveur de gestion via VPN en mode SaaS.
  • Intégration avec LDAP, SYSLOG et SIEM.

  VIII) Deux Architectures de Sécurité

  Il existe deux modes d’hébergement pour les stations blanches : On Premise (sur site) et en mode SaaS (Software as a Service).

  a) Architecture On Premise

  Dans cette configuration, le produit effectue le transfert de fichiers avec ou sans modification selon le type de fichier, le format et l’analyse antivirale sur un serveur de données. Cela offre un contrôle local accru.

  b) Architecture en Mode SaaS

  Le mode SaaS permet uniquement l’analyse des supports USB et le transfert sur un autre support maîtrisé. Il offre une solution plus légère et décentralisée, idéale pour les entreprises souhaitant externaliser la gestion de la sécurité.

  IX) Conclusion

  L’idée des stations blanches ou des sas de sécurité pour les supports amovibles devient essentielle, en particulier dans les secteurs industriels. Bien qu’elles ne protègent pas contre toutes les menaces, elles contribuent grandement à la sécurité du système d’information.

  Associées à des politiques de sécurité, des procédures et des systèmes complémentaires tels que le DLP (Data Loss Prevention), les stations blanches permettent de renforcer la sécurité du système.

  Cependant, la sensibilisation des entreprises aux risques liés à la cybersécurité provenant des supports amovibles reste un défi. Le marché français propose encore peu de solutions, mais la concurrence pousse les fabricants à progresser.

  En fin de compte, les stations blanches ont pour principal objectif de sécuriser les supports amovibles USB. Cependant, il reste des questions sur la protection des solutions de stockage E-Sata ou Thunderbolt, auxquelles il faudra également répondre.

  X) Pour Aller Plus Loin

  Pour obtenir la reconnaissance de l’ANSSI, une solution doit respecter 13 exigences obligatoires, ce qui ressemble aux certifications ISO. Actuellement, seulement deux solutions ont reçu cette reconnaissance sur le marché français : Malware Cleaner d’Orange Cyberdéfense et KUB de KUB Cleaner.

  L’ANSSI a également publié des recommandations pour le déploiement de ces solutions, mettant l’accent sur l’environnement du produit, le dimensionnement, la formation des administrateurs, la consultation des journaux, l’intégrité du produit et la sécurité du réseau opérationnel.

  Bien que les progrès techniques dans ce domaine soient limités en France par rapport aux États-Unis, où de telles solutions sont déjà largement déployées, il est possible de créer ses propres stations blanches pour une utilisation personnelle ou spécifique.