Ce que 250 clés USB ont révélé sur le comportement humain !

Qu’avons-nous tendance à faire lorsque l’on trouve une clé USB ? Poser la question c’est déjà y répondre. Le « Projet USB » du CLUSIL a  permis d’évaluer notre curiosité, et donc notre attitude face aux cyber-risques.

Dans une expérience révélatrice menée cet été, CLUSIL a distribué environ 250 clés USB dans des espaces publics à travers le pays, des gares aux parcs en passant par des centres d’affaires et des événements technologiques, afin de tester la curiosité humaine et son croisement avec les risques en matière de cybersécurité.

En effet, comment savoir si la clé USB que vous vous apprêtez à brancher à votre ordinateur contient des fichiers infectés, des virus, des logiciels illégaux, des logiciels soumis à des droits d’auteur ou à des conditions de licence particulières ? Tel était l’objectif du « Projet USB : Analyse expérimentale des risques associés aux clés USB », dont le rapport est disponible sur demande.

Les risques méconnus des dispositifs USB

En somme, une simulation des scénarios réels où des individus rencontrent des clés USB inconnues, en mesurant les comportements qui pourraient les exposer eux-mêmes ou leurs organisations à des menaces graves. « Les résultats mettent en lumière des vulnérabilités persistantes dans la prise de décision humaine, même à une époque de sensibilisation accrue aux cybermenaces », observe Cédric Mauny, Président, CLUSIL.

Les dispositifs USB comportent en effet des dangers potentiels peu connus : ils peuvent se faire passer pour des claviers, des souris, des points d’accès Wi-Fi ou des adaptateurs réseau, permettant la propagation de malwares, le vol de données ou le contournement de mesures de sécurité sans interaction de l’utilisateur.

« Sur les 300 préparées et les 240 clés distribuées effectivement, 39 ont été ramassées et consultées. Soit un taux de récupération de 16 %, continue Cédric Mauny. Ce taux est comparable à des études similaires menées par d’autres organismes rapportant un taux d’engagement de 17 %. »

Réactions diverses

Les emplacements autour des établissements éducatifs ont montré un taux d’accès de 31 %, suggérant que les jeunes pourraient être plus sensibles aux risques motivés par la curiosité. Autre constat : certaines clés ont été insérées et parcourues dans les 30 minutes suivant leur dépôt, tandis que d’autres ont pris jusqu’à 133 jours, avec une médiane de 3 jours. Huit clés ont été accédées le jour même de leur placement.

« L’expérience a ‘piégé’ -ou amusé- au moins un expert en cybersécurité, qui a trouvé une clé devant un P+R, envoyé une photo à son responsable, analysé le contenu de la clé avant de finir par contacter les ‘gentils’ organisateurs », continue Cédric Maury, pour l’anecdote.

Dans le sud du pays, un étudiant passionné par la cybersécurité a également contacté le CLUSIL après avoir trouvé une clé près d’un bar, tout en ayant déjà consulté son contenu, saluant l’idée brillante du projet !

Enfin, une organisation luxembourgeoise ayant découvert plusieurs clés a déclenché une réunion d’urgence en moins de 45 minutes, publié une communication interne, isolé les supports dans un environnement sécurisé, copié leur contenu sur un disque dédié et placé l’ensemble dans un coffre, avant de contacter un CERT après avoir repéré un fichier inhabituel. « Cet épisode illustre le niveau d’alerte élevé face à un objet potentiellement suspect », constate Cédric Mauny. Un cas unique, hélas.

Une démarche éthique et contrôlée

L’expérience a été conçue avec des garanties éthiques : aucun malware n’a été inclus, le principe validé avec des experts indépendants et les CERT luxembourgeois ont été informés à l’avance. Chaque clé contenait des fichiers inoffensifs ( documents, vidéos, images ) et un fichier HTML de suivi qui enregistrait les accès via une connexion bénigne à un serveur web, sans poser de menace réelle et dans le respect de la vie privée.

L’impact environnemental estimé à 27 kg de CO₂ pour les 300 clés préparées, compensé par les bénéfices en termes d’amélioration des pratiques au sein de la société et de prévention d’incidents potentiels.

Présentation des résultats et réactions du public

Lors de l’événement associatif de présentation des résultats organisé par CLUSIL, tenu avec succès le 8 décembre 2025 à la LHC ( Luxembourg House of Cybersecurity ), les participants ont pu explorer des données détaillées, des anecdotes de terrain et des débats sur la curiosité, la gestion des risques et les changements comportementaux. Les organisateurs du projet ont déclaré :

« Malgré une décennie de couverture médiatique accrue sur les exploits en cybersécurité, les comportements n’ont pas significativement évolué, constate Cédric Mauny. Prévenir ne serait-ce qu’un incident grâce à la sensibilisation peut protéger des milliers de données sensibles et éviter des coûts de remédiation élevés. Ce projet souligne que la curiosité reste un vecteur puissant pour les risques cyber. »

Bref, le danger n’est pas strictement technologique, mais réside dans l’interaction humaine avec un objet aussi anodin qu’une simple clé USB, confirmant l’importance de politiques de contrôle des supports externes, d’intégration dans les plans de crise et de renforcement de la sensibilisation.