Protection 📝 Empêcher les attaques par injection HID via clés USB piégées sur Windows 11

[Sylvain*]

Empêcher les attaques par injection HID via clés USB piégées sur Windows 11

Introduction

Les attaques par injection HID (Human Interface Device) exploitent des périphériques USB déguisés en clavier ou souris. Une fois connectés, ces dispositifs exécutent automatiquement des commandes malveillantes comme s’il s’agissait de saisies clavier. Des outils comme Rubber Ducky ou MalDuino rendent ces attaques simples et discrètes. Ce tutoriel vous guide dans la prévention de ces attaques sur Windows 11 à l’aide de restrictions, de surveillance et de politiques système.

---

Prérequis

• Connaissance du fonctionnement des pilotes HID sous Windows

• Accès aux outils Gpedit.msc, Device Installation Policies, WDAC

• Droits administrateur local ou centralisé

---

Niveau de difficulté

• Étape #1 : Identifier les périphériques HID connectés

• Étape #2 : Désactiver l’installation automatique de périphériques HID inconnus

• Étape #3 : Bloquer les interfaces clavier USB non autorisées

• Étape #4 : Appliquer une stratégie de contrôle d’exécution

• Étape #5 : Activer l’audit des connexions et exécutions HID

---

Les Avantages

• Étape #1 : Détection rapide des périphériques suspects

• Étape #2 : Réduction de la surface d’attaque via l’USB

• Étape #3 : Interdiction de l’injection automatisée de commandes

• Étape #4 : Application de règles précises par matériel

• Étape #5 : Traçabilité complète des connexions USB HID

---

Les Inconvénients

• Étape #1 : Nécessite une analyse manuelle des ID de périphériques

• Étape #2 : Risque de bloquer des périphériques USB légitimes

• Étape #3 : Maintenance requise à chaque nouveau matériel

• Étape #4 : Configuration avancée en environnement non géré

• Étape #5 : Complexité d’analyse des journaux sans outil SIEM

---

Étape #1

Connecter un périphérique USB suspect sur un poste de test

Lancer Gestionnaire de périphériques > Claviers > HID Keyboard Device

Identifier le VID (Vendor ID) et PID (Product ID) dans les propriétés

Noter les IDs pour les bloquer ultérieurement via GPO

---

Étape #2

Ouvrir Gpedit.msc

Accéder à :

Configuration ordinateur > Modèles d’administration > Système > Installation de périphériques > Restrictions d’installation

Activer :

Empêcher l’installation de périphériques correspondant à ces ID

Ajouter les VID/PID identifiés précédemment ex :

USB\VID_1FC9&PID_2330

---

Étape #3

Utiliser WDAC ou AppLocker pour interdire les exécutions déclenchées par HID non approuvés

Restreindre l’accès aux exécutables système sensibles :

cmd.exe

powershell.exe

wscript.exe

Interdire l’accès à C:\Windows\System32\Tasks par scripts non signés

Déployer ces règles sur tous les postes via Intune ou GPO

---

Étape #4

Implémenter une politique Device Installation Policy (PnPUtil/GPO)

Bloquer toutes les installations USB sauf liste blanche

Activer les restrictions Defender Attack Surface Reduction (ASR) :

Bloquer les comportements de type script dans les périphériques USB

Utiliser MDM WMI Bridge CSP pour appliquer les restrictions à distance

---

Étape #5

Activer la journalisation de connexion des périphériques :

Observateur d’événements > Journaux Windows > Système > ID 20001 à 20003

Installer Sysmon avec règles personnalisées (ID 1, 3, 6)

Superviser les appels clavier automatiques par des périphériques USB

Intégrer les journaux à une solution SIEM ou Defender for Endpoint

---

Astuce

Créez une alerte spécifique qui déclenche une alarme ou un verrouillage de session dès qu’un nouveau clavier HID est détecté hors des périphériques approuvés.

---

Mise en garde

Une clé USB piégée n’est pas visible comme périphérique de stockage et échappe aux protections classiques. La prévention doit impérativement se baser sur le contrôle du type de périphérique, pas uniquement sur les fichiers.

---

Conseil

Désactivez les ports USB physiques sur les postes critiques via UEFI/BIOS ou sécurisez-les avec des verrous physiques, en complément des restrictions logicielles.

---

Solutions alternatives

• usb hid attack prevention windows

• block usb hid device gpo windows

• sysmon usb hid injection rules

---

Références utiles

• Microsoft – Device Installation Restrictions

• Microsoft WDAC

• Recherche GitHub – Rubber Ducky Defense

---

Conclusion

Les attaques par injection HID via USB contournent les défenses traditionnelles en se faisant passer pour des périphériques d’entrée légitimes. En appliquant des restrictions précises basées sur les IDs matériels, en bloquant l’exécution automatique, et en surveillant l’ensemble des événements liés aux périphériques, il est possible de prévenir efficacement ce vecteur de compromission sur Windows 11.