Traditionnellement, elle était employée comme périphérique de stockage passif ou client d’authentification forte (RPV, PKI). Pourtant, aujourdhui, la clé USB devient un véritable environnement de travail actif. Amovible,
autodéclarative, facilement transportable, elle embarque aujourd’hui des systèmes d’exploitation, des logiciels de productivité personnelle, des serveurs Web et des outils de développement.Et leur nombre augmente de façon impressionnante. D’après le cabinet Gartner, 173,2 millions d’unités seront livrées à l’orée 2009, contre presque 80 millions en 2005.Soit un doublement en quatre ans, ce qui ne manque pas d’interpeller les entreprises, tant en matière d’usage que de sécurité. ‘ Les sociétés dépensent des fortunes en sécurité et laissent proliférer
des médias amovibles de plusieurs gigaoctets. C’est l’anarchie ‘, prévient Michel Lacoste, directeur Europe du Sud chez SecureWave.Parmi les nouvelles utilisations, citons les environnements de travail portables, le développement Web et la maintenance.
C’est U3 qui a ouvert la voie. Ce groupement rassemble neuf fabricants de clés USB, dont les membres fondateurs M-Systems et SanDisk, auxquels se sont joints notamment Intuix,
Memorex et Verbatim.
Des environnements de travail personnels
‘ Les clés U3 s’adressent aux environnements Windows. Elles disposent de leur propre interface de travail, et embarquent des logiciels écrits pour être portables. Il suffit, pour les exploiter, de se rendre
auprès de notre site de téléchargement Software Central, et de récupérer la suite bureautique OpenOffice, le navigateur Firefox, le client de messagerie Thunderbird et les antivirus de McAfee ou d’Avast ‘, souligne
Nathan Gold, vice-président marketing de U3. Microsoft suit le mouvement.‘ Des versions allégées de la suite bureautique Office sont en préparation, afin de répondre à la demande spécifique des utilisateurs ‘, précise Nicolas de Saint-Rémy, responsable grands
comptes chez Verbatim. Cette nouvelle génération de clés est également dotée de moteurs de recherche dédiés, tel Gaviri Pocket Search. En France, U3 concurrence Framasoft, une association à but non lucratif qui commercialise
la clé USB Framakey, exclusivement composée de logiciels libres.Les développeurs Web investissent, eux aussi, le créneau : les packages de logiciels libres pour Windows, tels Mov’AMP et Wamp5, concentrent en effet des versions portables du serveur Web Apache, du SGBD MySQL 5.0, des IDE
PHP, ainsi que des outils d’administration. ‘ Ces logiciels embarqués sur une clé USB facilitent mon travail de Webmestre. Je développe à partir des outils stockés sur la clé, puis je teste le site sur ce média avant de
transférer les fichiers vers l’hébergeur ‘, explique Nicolas Fatrez, développeur Web indépendant.
Sécuriser le parc des clés USB
La prochaine étape concerne l’amorçage d’un système, directement à partir de la clé, afin d’assurer la maintenance d’un PC sur site, ou de le décontaminer. À cette fin, des versions dédiées de Linux (Flonix,
DamSmallLinux ou Mandriva Move), initialement destinées à s’exécuter à partir d’un disque optique, sont en cours d’élaboration. Une version expérimentale de Windows XP pour clé USB existe aussi (Bart PE), mais elle n’est
pas autorisée par Microsoft.L’émergence de ces nouveaux usages pose problème. ‘ Le groupe de sécurité Black Hat a démontré qu’une clé USB permettait de tromper Windows et de pénétrer sur un réseau sans
autorisation ‘, confirme Nathan Gold. Le problème de vol de données est connu, surtout si l’on considère les capacités de stockage grandissantes de ces clés.Cela pousse les éditeurs à faire évoluer les logiciels de sécurité afin de mettre en place des politiques centralisées et granulaires de gestion des clés USB. De fait, les logiciels de gestion de parc tels ceux de LANDesk ou de
Microsoft, permettent déjà d’établir des listes d’autorisation, de droits de lecture ou d’écriture, applicables aux clés USB.Toutefois, M-Systems va plus loin. ‘ Xkey Shield s’intègre aux logiciels de gestion de parc et reconnaît formellement la clé, à l’aide des identifiants produit et vendeur. Le logiciel assure une
journalisation très précise des entrées/sorties par clé et par groupe d’utilisateurs ‘, indique Nathan Gold. Il devient donc possible d’interdire le transfert de données et de n’autoriser
l’exécution d’une application qu’avec un jeu de données particulier.Pour sa part, SecureWave propose de surveiller le comportement du périphérique. ‘ Notre logiciel de bas niveau pour environnements Windows surveille les copies de données. En cas de dépassement de seuil, ou de
copie, il est possible de recevoir des alertes très détaillées ‘, souligne Michel Lacoste.Aladdin Knowledge Systems prend acte de ces évolutions : ‘ Traditionnellement, nous utilisons les clés USB pour authentifier l’utilisateur qui désire accéder à des ressources externes. Demain, nous
embarquerons notre middleware RTO chargé de l’échange de clés, pour authentifier l’utilisateur qui accède à la clé ‘, conclut Youenn Pibot, ingénieur avant-vente chez
l’éditeur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
