Comme une étude pour CompTIA tendait déjà à le prouver, cela fonctionne bel et bien. Des chercheurs de Google, l'université de l'Illinois et du Michigan ont également mené leur expérience sociale pour parvenir à un résultat encore plus probant.
Ils ont abandonné près de 300 clés USB sur le campus de l'université de l'Illinois. Il ont pu constater que 48 % d'entre elles ont été connectées à un ordinateur et avec un clic sur leurs fichiers. Cela n'a d'ailleurs pas traîné, une clé laissée par terre a été connectée moins de six minutes après. Il y a décidément des efforts d'éducation en matière de sécurité informatique qui ont bien du mal à passer.
Ces clés USB contenaient des fichiers HTML qui appelaient une image hébergée sur un serveur des chercheurs. Sans exécuter de code sur l'ordinateur de l'utilisateur, cela a permis de déterminer quand une clé était connectée et un fichier ouvert. Le cas échéant, il était demandé de répondre à une enquête en échange d'une carte cadeau.
La plupart des répondants (68 %) ont affirmé avoir connecté la clé USB dans le but de trouver son propriétaire et lui restituer. Seulement 18 % ont dit avoir agi par curiosité. Reste que s'il y avait eu du contenu malveillant, le résultat aurait été le même, altruisme ou pas.
Cela confirme donc que si une clé USB malveillante est laissée à l'abandon, elle trouvera rapidement preneur et fera une victime qui pourrait aussi être une entreprise.
