Aujourd’hui, des ports de recharge USB sont omniprésents, que ce soit dans les aéroports, les chaînes de restauration rapide, ou même à bord des bus. Cependant, une question légitime se pose : ces ports publics sont-ils vraiment sécurisés ? L’utilisation de ces dispositifs pourrait-elle exposer votre téléphone ou votre tablette à des menaces de piratage ? Nous avons enquêté pour vous apporter des réponses.
Des mises en garde de la part de spécialistes
Certains experts ont exprimé des préoccupations quant à l’utilisation des stations de recharge USB accessibles au public. Plus tôt cette année, des chercheurs de l’équipe d’élite en tests d’intrusion d’IBM, X-Force Red, ont lancé des avertissements sérieux concernant les risques potentiels liés à ces bornes de recharge.
Selon Caleb Barlow, vice-président du renseignement sur les menaces chez X-Force Red, « Se brancher à un port USB public, c’est un peu comme ramasser une brosse à dents sur le trottoir et décider de la mettre dans sa bouche. On n’a aucune idée d’où elle a bien pu traîner. »
Barlow souligne un point crucial : les ports USB ne servent pas uniquement à la transmission d’énergie, ils permettent également l’échange de données entre les appareils.
Les appareils modernes sont conçus pour vous donner le contrôle. Normalement, ils ne devraient pas accepter de données d’un port USB sans votre consentement. C’est précisément pour cette raison que l’invite « Faire confiance à cet ordinateur ? » apparaît sur les iPhones. Cependant, une faille de sécurité pourrait potentiellement contourner cette protection. Cette problématique ne se pose pas lorsque vous utilisez un bloc d’alimentation fiable connecté à une prise électrique standard. Avec un port USB public, vous vous fiez à une connexion qui peut aussi transmettre des données.
Avec un peu de savoir-faire technologique, il est possible de manipuler un port USB afin de diffuser des logiciels malveillants vers un téléphone connecté. Ce risque est d’autant plus élevé si l’appareil fonctionne sous Android ou une version plus ancienne d’iOS, et n’a donc pas bénéficié des dernières mises à jour de sécurité.
Tout cela peut sembler alarmant, mais ces mises en garde sont-elles fondées sur des risques réels ? Nous avons approfondi nos recherches pour en avoir le cœur net.
De la théorie à la réalité
Alors, ces attaques par USB contre les appareils mobiles ne seraient-elles que de la pure théorie ? La réponse est un non catégorique.
Les experts en sécurité considèrent depuis longtemps les bornes de recharge comme un vecteur d’attaque potentiel. En 2011, Brian Krebs, un journaliste spécialisé dans la sécurité informatique, a inventé l’expression « juice jacking » pour décrire les exploitations qui en tirent profit. Au fur et à mesure que les appareils mobiles se sont démocratisés, de nombreux chercheurs se sont penchés sur cet aspect spécifique.
En 2011, l’événement « Wall of Sheep », organisé en marge de la conférence de sécurité Defcon, a mis en place des stations de recharge qui, une fois utilisées, faisaient apparaître une fenêtre contextuelle sur l’appareil, alertant sur les dangers de la connexion à des appareils non fiables.
Deux ans plus tard, lors de l’événement Blackhat USA, des chercheurs du Georgia Tech ont présenté un outil capable de se faire passer pour une station de recharge afin d’installer des logiciels malveillants sur un appareil utilisant la dernière version d’iOS.
Nous pourrions continuer cette liste, mais vous avez saisi l’idée. La question cruciale est de savoir si la découverte du « juice jacking » s’est traduite par des attaques réelles. C’est là que les choses se compliquent.
Évaluer le niveau de risque
Bien que le « juice jacking » soit un sujet d’intérêt majeur pour les experts en sécurité, il n’existe pratiquement aucun exemple documenté d’attaques utilisant cette approche comme arme dans le monde réel. La plupart des articles de presse se concentrent sur les preuves de concept développées par des chercheurs travaillant pour des institutions, telles que des universités ou des entreprises de sécurité informatique. Il est fort probable que cela soit dû à la difficulté intrinsèque de manipuler une station de recharge publique.
Pour pirater une borne de recharge publique, l’attaquant devrait se procurer du matériel spécifique (comme un ordinateur miniature pour déployer un logiciel malveillant) et l’installer discrètement. Imaginez la difficulté de réaliser cela dans un aéroport international très fréquenté, où les passagers sont rigoureusement contrôlés et où la sécurité confisque même les outils comme les tournevis lors de l’enregistrement. Le coût et les risques rendent le « juice jacking » fondamentalement inadapté aux attaques de masse.
De plus, ces attaques sont relativement inefficaces. Elles ne peuvent infecter que les appareils qui sont physiquement branchés à la borne. De plus, elles exploitent souvent des failles de sécurité que les fabricants de systèmes d’exploitation mobiles, tels qu’Apple et Google, corrigent régulièrement.
En réalité, si un pirate informatique falsifie une station de recharge publique, il y a de fortes chances que ce soit dans le cadre d’une attaque ciblée contre une personne de grande valeur, et non contre un usager lambda qui a besoin de recharger rapidement son téléphone en allant au travail.
Priorité à la sécurité
L’objectif de cet article n’est pas de minimiser les risques de sécurité liés aux appareils mobiles. Les smartphones peuvent effectivement servir à propager des logiciels malveillants. Il y a eu également des cas d’infection de téléphones lors de la connexion à un ordinateur hébergeant des logiciels malveillants.
Dans un article de Reuters datant de 2016, Mikko Hypponen, une figure emblématique de F-Secure, décrit une souche particulièrement virulente de logiciel malveillant Android qui a touché un constructeur aéronautique européen.
« Hypponen a récemment confié avoir discuté avec un constructeur aéronautique européen qui a révélé que les cockpits de leurs avions étaient nettoyés chaque semaine pour éliminer des logiciels malveillants conçus pour les téléphones Android. Ces logiciels se sont propagés dans les avions uniquement parce que les employés de l’usine rechargeaient leurs téléphones via le port USB du cockpit », indique l’article.
« Comme l’avion utilise un système d’exploitation différent, il n’y a pas de risque pour l’appareil. En revanche, le virus se propage aux autres appareils connectés au chargeur. »
Vous souscrivez une assurance habitation non pas parce que vous pensez que votre maison va brûler, mais pour vous préparer au pire scénario possible. De même, vous devez prendre des précautions raisonnables lorsque vous utilisez des bornes de recharge USB publiques. Dans la mesure du possible, privilégiez une prise murale classique plutôt qu’un port USB. Sinon, envisagez l’utilisation d’une batterie externe au lieu de brancher directement votre appareil. Vous pouvez également connecter une batterie externe et charger votre téléphone à partir de celle-ci pendant que la batterie se recharge. En d’autres termes, il est conseillé d’éviter au maximum de brancher votre téléphone directement sur les ports USB publics.
Même s’il n’existe que peu de cas documentés, il vaut toujours mieux prévenir que guérir. De manière générale, il est recommandé d’éviter de brancher vos appareils sur des ports USB dont vous n’êtes pas absolument sûr.