Dans une expérience révélatrice menée cet été, CLUSIL, l'association luxembourgeoise de référence pour les professionnels de la sécurité de l'information, a distribué environ 250 clés USB dans des espaces publics à travers le pays, des gares aux parcs en passant par des centres d'affaires et des événements technologiques, afin de tester la curiosité humaine et son croisement avec les risques en matière de cybersécurité.

Objectif du projet clés USB

Le « Projet USB : Analyse expérimentale des risques associés aux clés USB », dont le rapport est disponible sur demande, visait à simuler des scénarios réels où des individus rencontrent des clés USB inconnues, en mesurant les comportements qui pourraient les exposer eux-mêmes ou leurs organisations à des menaces graves. Les résultats mettent en lumière des vulnérabilités persistantes dans la prise de décision humaine, même à une époque de sensibilisation accrue aux cybermenaces.

Les risques méconnus des dispositifs USB

Les dispositifs USB comportent en effet des dangers potentiels peu connus : ils peuvent se faire passer pour des claviers, des souris, des points d'accès Wi-Fi ou des adaptateurs réseau, permettant la propagation de malwares, le vol de données ou le contournement de mesures de sécurité sans interaction de l'utilisateur.

Les principales conclusions incluent :

• Taux de récupération de 16 % : Sur les 300 préparées et les 240 clés distribuées effectivement, 39 ont été ramassées et consultées. Ce taux est comparable à des études similaires menées par d’autres organismes rapportant un taux d'engagement de 17 %.

• Risque plus élevé près des écoles : Les emplacements autour des établissements éducatifs ont montré un taux d'accès de 31 %, suggérant que les jeunes démographiques pourraient être plus sensibles aux risques motivés par la curiosité.

• Temps de réponse rapides : Certaines clés ont été insérées et parcourues dans les 30 minutes suivant leur dépôt, tandis que d'autres ont pris jusqu'à 133 jours, avec une médiane de 3 jours. Huit clés ont été accédées le jour même de leur placement.

• Anecdotes de terrain : L'expérience a « piégé » (ou plutôt amusé) au moins un expert en cybersécurité, qui a trouvé une clé devant un P+R, envoyé une photo à son responsable, analysé le contenu de la clé avant de finir par contacter les « gentils » organisateurs. Dans le sud du pays, un étudiant passionné par la cybersécurité a également contacté CLUSIL après avoir trouvé une clé près d’un bar, tout en ayant déjà consulté son contenu, saluant l'idée brillante du projet. 

• Réaction organisationnelle : Une organisation luxembourgeoise ayant découvert plusieurs clés a déclenché une réunion d'urgence en moins de 45 minutes, publié une communication interne, isolé les supports dans un environnement sécurisé, copié leur contenu sur un disque dédié et placé l'ensemble dans un coffre, avant de contacter un CERT après avoir repéré un fichier inhabituel. Cet épisode illustre le niveau d'alerte élevé face à un objet potentiellement suspect.

Une démarche éthique et contrôlée

L'expérience a été conçue avec des garanties éthiques : aucun malware n'a été inclus, le principe validé avec des experts indépendants et les CERT luxembourgeois ont été informés à l'avance. Chaque clé contenait des fichiers inoffensifs (par exemple, documents, vidéos, images) et un fichier HTML de suivi qui enregistrait les accès via une connexion bénigne à un serveur web, sans poser de menace réelle et dans le respect de la vie privée.

L'impact environnemental estimé à 27 kg de CO? pour les 300 clés préparées, compensé par les bénéfices en termes d'amélioration des pratiques au sein de la société et de prévention d'incidents potentiels.

Présentation des résultats et réactions du public

Lors de l'événement associatif de présentation des résultats organisé par CLUSIL, tenu avec succès le 8 décembre 2025 à la Luxembourg House of Cybersecurity (LHC), les participants ont pu explorer des données détaillées, des anecdotes de terrain et des débats sur la curiosité, la gestion des risques et les changements comportementaux. Les organisateurs du projet ont déclaré : « Malgré une décennie de couverture médiatique accrue sur les exploits en cybersécurité, les comportements n'ont pas significativement évolué. Prévenir ne serait-ce qu'un incident grâce à la sensibilisation peut protéger des milliers de données sensibles et éviter des coûts de remédiation élevés. Ce projet souligne que la curiosité reste un vecteur puissant pour les risques cyber. »

Le rapport, disponible sur demande, conclut que le danger n’est pas strictement technologique mais réside dans l’interaction humaine avec un objet aussi anodin qu’une simple clé USB, confirmant l’importance de politiques de contrôle des supports externes, d’intégration dans les plans de crise et de renforcement de la sensibilisation. CLUSIL remercie tous les intervenants et participants pour cette session enrichissante, qui renforce l'engagement collectif contre les menaces cyber.