Format de rechange : Conseils de sécurité pour les dispositifs périphériques (ITSAP.70.015) (PDF, 1.1 Mo)
Les dispositifs périphériques se branchent à un ordinateur ou à un dispositif mobile hôte. Ils peuvent servir à accroître les capacités d’un ordinateur ou d’un dispositif mobile et à améliorer votre expérience utilisateur. Toutefois, les périphériques peuvent représenter pour des auteurs de menaces un moyen de compromission des réseaux, systèmes et informations de votre organisme.
Qu’entend-on par périphériques?
Les périphériques peuvent être des dispositifs internes ou externes. Les périphériques internes sont intégrés à un ordinateur ou à un appareil mobile par le fabricant (p. ex. cartes vidéo et son, modems internes et disques durs). Les périphériques externes se branchent par câble, comme un câble USB ou Thunderbolt, dans un port du dispositif hôte, ou peuvent être sans fil à l’aide du Wi-Fi ou Bluetooth. On compte parmi les périphériques externes les claviers, caméras et disques durs externes.
Pour évaluer les risques posés par les périphériques, votre organisation doit identifier les périphériques utilisés actuellement ou dont la mise en œuvre est prévue. On compte trois catégories générales de dispositifs périphériques :
- Un périphérique d’entrée envoie de l’information et des instructions à l’ordinateur ou à l’appareil mobile auquel il est branché.
- Un périphérique de sortie reçoit de l’information et des instructions de l’ordinateur ou appareil mobile auquel il est branché.
- Un périphérique de stockage stocke et enregistre de l’information provenant d’un ordinateur ou appareil mobile.
Connaître le type de périphérique utilisé (entrée, sortie ou stockage) et le flux d’informations peut vous aider à choisir et à prioriser les contrôles de sécurité qui protègent vos systèmes et actifs sensibles.
Risques associés aux périphériques
Les périphériques sont pratiques et améliorent l’expérience utilisateur. Les auteurs de menaces tentent d’exploiter les périphériques, comme l’illustrent les exemples ci-dessous, en vue d’avoir accès à vos réseaux, systèmes et informations de nature sensible.
Compromission de câbles intelligents
Des microcontrôleurs sont intégrés aux câbles intelligents, comme les câbles Lightning et USB-C. Les auteurs de menaces peuvent programmer ces microcontrôleurs pour les faire attaquer l’appareil auquel vous branchez le câble. Il existe même des câbles commerciaux qui contiennent un point d’accès sans fil pouvant être ciblé par des acteurs de menaces.
Vulnérabilités des micrologiciels
Les acteurs de menaces peuvent utiliser le micrologiciel d’un appareil (le logiciel qui contrôle le matériel de l’appareil) pour exécuter des « rootkits », un type de logiciel qui se camoufle et cache des maliciels dans votre appareil. Ce type de logiciel permet aux auteurs de menaces de contrôler à distance les appareils et d’accéder à des éléments comme vos communications réseau ou votre webcam.
Attaques contre l’accès direct à la mémoire (DMA)
Lorsqu’un auteur de menace a compromis les micrologiciels d’un appareil ou qu’il a physiquement accès à un système, il peut alors mener une attaque contre l’accès direct à la mémoire (DMA) pour lire et réécrire la mémoire du système. En réécrivant la mémoire, l’auteur de menace peut prendre contrôle du système et effectuer des activités malveillantes.
Comment puis-je me servir de périphériques en toute sécurité?
Évaluez vos périphériques
Votre chaîne d’approvisionnement peut avoir un impact sur votre sécurité. Lorsque vous achetez des périphériques, assurez-vous d’avoir affaire à un fournisseur qui vend des périphériques ayant des mesures de sécurité intégrées. Faites preuve de prudence avant d’utiliser des périphériques qui vous sont donnés par de tierces parties inconnues (p. ex. un fournisseur lors d’une conférence). Ces périphériques gratuits peuvent contenir des maliciels conçus pour compromettre les appareils dans lesquels ils sont branchés.
Vérifier et authentifier les périphériques
Avant de brancher des périphériques à vos réseaux et dispositifs électroniques, vérifiez que le périphérique que vous choisissez est répertorié et connu et approuvé (p. ex. la bonne imprimante).
Vous pouvez utiliser des codes de jumelage et des clés d’accès pour authentifier et autoriser les connexions sans fil. Méfiez-vous si vous recevez une demande de jumelage ou de connexion que vous n’avez pas lancée. Un appareil qui se branche même une seule fois à votre système demeure dans votre liste d’appareils jumelés. Assurez-vous de toujours retirer de votre liste d’appareils jumelés tout appareil perdu ou volé.
Dispositifs physiques et câbles sécurisés
Gardez le contrôle et la garde de vos appareils, y compris les câbles et les chargeurs, pour vous assurer qu’ils ne sont pas modifiés ou remplacés par d’autres appareils. Étiquetez tous les périphériques avec un sceau de sécurité inviolable pour vous assurer qu’ils peuvent être facilement identifiés et pour empêcher les auteurs de menaces de les remplacer par d’autres appareils.
Ne laissez jamais vos dispositifs sans surveillance dans un lieu public. Veiller sur votre téléphone ou votre ordinateur portable peut être devenu un réflexe, mais n’oubliez pas de veiller aussi sur vos chargeurs, câbles et autres périphériques.
Changez les mots de passe par défaut
Généralement, les dispositifs électroniques viennent avec un mot de passe par défaut fourni par le fabricant. Assurez-vous de modifier tous les mots de passe attribués par défaut, y compris les mots de passe des administrateurs.
Chaque périphérique doit avoir une phrase ou un mot de passe unique et complexe. Il est important de noter que les phrases de passe doivent compter au moins quatre mots et avoir une longueur d’au moins quinze caractères.
Mettez à jour vos appareils et appliquez les correctifs de sécurité
Vous êtes probablement déjà au courant de l’importance de tenir à jour le système d’exploitation et les applications de votre ordinateur et de vos appareils mobiles, mais ne négligez pas les périphériques. N’oubliez pas de régulièrement mettre à jour et déboguer vos micrologiciels et d’y appliquer les correctifs de sécurité pour faire en sorte que vos appareils soient sécurisés autant que possible.
Quoi d’autre?
Avant d’utiliser un périphérique, faites-en l’évaluation en tenant compte de vos exigences opérationnelles et de sécurité afin de déterminer les risques et mettre en œuvre les mesures de protection adéquates. De plus, votre organisation devrait définir des politiques claires sur l’utilisation des dispositifs périphériques.
Adoptez les mesures suivantes pour accroître la sécurité de votre organisation :
- Méfiez-vous avant de connecter des périphériques dont la fiabilité est incertaine lorsque vous visitez une organisation de tierce partie (p. ex. câbles HDMI, clé USB). Lisez attentivement les avertissements ou les demandes d’autorisations provenant de ces périphériques.
- Fermez vos sessions et éteignez vos appareils lorsque vous ne vous en servez pas.
- Désactivez les fonctionnalités de connexion automatique pour vous assurer que vos dispositifs ne se jumellent pas automatiquement avec des appareils inconnus ou ne se connectent pas à des réseaux non sécurisés.
- Branchez les dispositifs périphériques à un réseau pour invités plutôt qu’à votre réseau interne principal.
- Avant de jeter un périphérique, expurgez-le soigneusement afin de supprimer toute information sensible qu’il pourrait contenir.
- Offrez une formation à vos employés au sujet de l’utilisation acceptable des périphériques.
Pour en savoir plus…
Rendez-vous sur le site Web du Centre pour la cybersécurité (cyber.gc.ca) pour plus de conseils sur les façons de vous protéger et de protéger vos dispositifs et vos renseignements. Consultez les publications suivantes pour en savoir plus :
- Utiliser la technologie Bluetooth (ITSAP.00.011)
- Sécurité de l’internet des objets pour les petites et moyennes organisations (ITSAP.00.012)
- Conseils de cybersécurité pour le télétravail (ITSAP.10.116)
- Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
- Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032)