Selon l’article publié au Luxembourg le 14 décembre 2025, le Club de la sécurité des systèmes d’information Luxembourg (CLUSIL) a mené une expérience de sensibilisation en disséminant des clés USB dans l’espace public afin d’évaluer les risques liés à la curiosité des utilisateurs.
Le CLUSIL a semé 250 clés USB dans des gares, parcs et centres d’affaires. Une organisation ayant découvert ces supports a réagi rapidement: réunion d’urgence en <45 minutes, isolement des supports, copie du contenu sur disque, mise sous coffre, puis contact d’un CERT. Le président du CLUSIL, Cédric Mauny, a salué ces réflexes.
L’ASBL rappelle qu’une clé inconnue peut constituer une menace: se faire passer pour un clavier (HID), agir comme point d’accès Wi‑Fi et propager des malwares ou voler des données à l’insu de l’utilisateur. Les clés utilisées dans l’expérience étaient inoffensives et les CERT avaient été prévenus à l’avance.
Résultats mesurés: 16% des clés ont été utilisées. Certaines ont été consultées dans les 30 minutes, d’autres après trois mois. Près des établissements scolaires, la curiosité a été plus marquée: 31% des clés déposées aux abords d’écoles ont été ouvertes. Mauny avertit que la curiosité reste une faiblesse humaine exploitable par les auteurs de cyberattaques.
TTPs évoqués (aucun IOC communiqué):
- 🎣 Appât USB (USB drop/baiting)
- ⌨️ Émulation de périphérique HID (clavier)
- 📶 Point d’accès Wi‑Fi factice
- 🦠 Propagation de malwares / exfiltration de données
Il s’agit d’un article de presse généraliste relatant une expérience de sensibilisation menée par le CLUSIL et ses résultats.
🔗 Source originale : https://www.lessentiel.lu/fr/story/au-luxembourg-pour-tester-la-cybersecurite-ils-ont-seme-des-cles-usb-103468264