Windows : le secret bien gardé de vos clés usb révélé
Vous utilisez une clé USB ? Sachez que Windows enregistre discrètement des informations sur chaque connexion, une mine d'informations précieuse pour la sécurité. et pour les experts en informatique légale.
n
Dévoilement : windows traque vos clés usb
La gestion des périphériques, et notamment les clés USB, est bien plus complexe qu'il n'y paraît sous Windows. Chaque fois que vous branchez une clé, le système d'exploitation crée une trace dans le Registre, un enregistrement permanent qui conserve des données sur la clé elle-même : fabricant, modèle, numéro de série, lettre de lecteur et date de la dernière connexion. Cette information, souvent ignorée, peut s’avérer essentielle pour l'analyse forensique informatique.
nWindows stocke ces informations dans la clé HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR. Ce dossier centralise les données de toutes les clés USB connectées à votre ordinateur. Un outil comme USBDeview de NirSoft permet d'exporter ces informations avec des horodatages précis, une véritable aubaine pour identifier des fuites de données ou des usages de matériel non autorisés, même sans installer de logiciel supplémentaire.
nMais comment accéder à ces informations ? Plusieurs méthodes existent. Le Gestionnaire de Périphériques (accessible via le menu Démarrer ou la commande devmgmt.msc) permet de révéler les périphériques cachés. Il suffit de cocher l'option « Afficher les périphériques cachés » puis d'explorer la section « Gestionnaires de connecteurs USB » pour y trouver les clés USB connectées – ou qui l'ont été par le passé.
nUne autre voie consiste à utiliser l'Éditeur du Registre (accessible via la commande regedit). En naviguant vers HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR, vous découvrirez les dossiers correspondant à chaque clé USB connectée. Chaque dossier renferme une mine d'informations.
nEnfin, le Observateur d’événements (accessible via Windows+X) peut également révéler les connexions USB. Il faut se rendre dans Journaux d’applications et de services> Microsoft> Windows> DriverFrameworks-UserMode> Operational, puis activer l’enregistrement des événements si ce n’est pas déjà fait. Attention, cela ne montrera que les connexions à partir de l'activation de cette fonctionnalité.
nCes traces, que l'on pourrait qualifier de