De nos jours, les aéroports, les restaurants fast-food et même les bus disposent de bornes de recharge USB. Mais ces ports publics sont-ils sûrs? Si vous en utilisez un, votre téléphone ou votre tablette pourrait-il être piraté? Nous l’avons vérifié!
Table des matières
Certains experts ont sonné l’alarme
Certains experts pensent que vous devriez vous inquiéter si vous avez utilisé une station de charge USB publique. Plus tôt cette année, des chercheurs de l’équipe de test d’intrusion d’élite d’IBM, X-Force Red, a émis de terribles avertissements sur les risques liés aux bornes de recharge publiques.
«Brancher sur un port USB public, c’est un peu comme trouver une brosse à dents sur le bord de la route et décider de la mettre dans la bouche», a déclaré Caleb Barlow, vice-président du renseignement sur les menaces chez X-Force Red. «Vous n’avez aucune idée d’où cette chose a été.»
Barlow souligne que les ports USB ne transmettent pas simplement de l’énergie, ils transfèrent également des données entre appareils.
Les appareils modernes vous donnent le contrôle. Ils ne sont pas censés accepter les données d’un port USB sans votre autorisation. C’est pourquoi l’option « Faire confiance à cet ordinateur? » l’invite existe sur les iPhones. Cependant, une faille de sécurité offre un moyen de contourner cette protection. Ce n’est pas vrai si vous branchez simplement un bloc d’alimentation fiable dans un port électrique standard. Avec un port USB public, cependant, vous comptez sur une connexion qui peut transporter des données.
Avec un peu de ruse technologique, il est possible de militariser un port USB et de pousser des logiciels malveillants vers un téléphone connecté. Cela est particulièrement vrai si l’appareil exécute Android ou une version antérieure d’iOS et est donc en retard sur ses mises à jour de sécurité.
Tout cela semble effrayant, mais ces avertissements sont-ils basés sur des préoccupations réelles? J’ai creusé plus profondément pour le savoir.
De la théorie à la pratique
Alors, les attaques USB contre les appareils mobiles sont-elles purement théoriques? La réponse est un non sans ambiguïté.
Les chercheurs en sécurité considèrent depuis longtemps les bornes de recharge comme un vecteur d’attaque potentiel. En 2011, Brian Krebs, journaliste vétéran infosec, a inventé le terme «jus jacking» pour décrire les exploits qui en profitent. Alors que les appareils mobiles ont progressé vers l’adoption massive, de nombreux chercheurs se sont concentrés sur cette seule facette.
En 2011, le mur des moutons, un événement marginal à la conférence de sécurité Defcon, a déployé des cabines de chargement qui, lorsqu’elles sont utilisées, ont créé une fenêtre contextuelle sur l’appareil qui avertissait des dangers de se brancher à des appareils non fiables.
Deux ans plus tard, lors de l’événement Blackhat USA, des chercheurs de Georgia Tech ont présenté un outil qui pourrait se faire passer pour une station de charge et installer des logiciels malveillants sur un appareil exécutant la dernière version d’iOS.
Je pourrais continuer, mais vous voyez l’idée. La question la plus pertinente est de savoir si la découverte de «Juice Jacking» s’est traduite par des attaques du monde réel. C’est là que les choses deviennent un peu troubles.
Comprendre le risque
Bien que le «juke-jacking» soit un domaine d’intérêt populaire pour les chercheurs en sécurité, il n’y a pratiquement pas d’exemples documentés d’attaquants utilisant l’approche comme une arme. La majeure partie de la couverture médiatique se concentre sur les preuves de concept de chercheurs qui travaillent pour des institutions, comme les universités et les entreprises de sécurité de l’information. Très probablement, c’est parce qu’il est intrinsèquement difficile de militariser une station de charge publique.
Pour pirater une borne de recharge publique, l’attaquant devrait se procurer du matériel spécifique (comme un ordinateur miniature pour déployer un malware) et l’installer sans se faire prendre. Essayez de le faire dans un aéroport international très fréquenté, où les passagers sont soumis à un examen minutieux et où la sécurité confisque des outils, comme des tournevis, à l’enregistrement. Le coût et le risque font que le Juke Jacking est fondamentalement inadapté aux attaques visant le grand public.
Il y a aussi l’argument selon lequel ces attaques sont relativement inefficaces. Ils ne peuvent infecter que les appareils branchés sur une prise de charge. En outre, ils s’appuient souvent sur des failles de sécurité que les fabricants de systèmes d’exploitation mobiles, comme Apple et Google, corrigent régulièrement.
En réalité, si un pirate informatique falsifie une station de charge publique, cela fait probablement partie d’une attaque ciblée contre une personne de grande valeur, et non un banlieusard qui a besoin de récupérer quelques points de pourcentage de batterie sur le chemin du travail.
La sécurité d’abord
L’objectif de cet article n’est pas de minimiser les risques de sécurité posés par les appareils mobiles. Les smartphones sont parfois utilisés pour propager des logiciels malveillants. Il y a également eu des cas d’infection de téléphones alors qu’ils étaient connectés à un ordinateur hébergeant des logiciels malveillants.
Dans un article de Reuters de 2016, Mikko Hypponen, qui est effectivement le visage public de F-Secure, décrit une souche particulièrement pernicieuse de malware Android qui a eu un impact sur un avionneur européen.
«Hypponen a déclaré qu’il avait récemment parlé à un constructeur aéronautique européen qui a déclaré qu’il nettoie les cockpits de ses avions chaque semaine des logiciels malveillants conçus pour les téléphones Android. Le malware s’est propagé dans les avions uniquement parce que les employés de l’usine chargeaient leurs téléphones avec le port USB dans le cockpit », indique l’article.
«Parce que l’avion utilise un système d’exploitation différent, rien ne lui arriverait. Mais il transmettrait le virus à d’autres appareils connectés au chargeur. »
Vous souscrivez une assurance habitation non pas parce que vous vous attendez à ce que votre maison brûle, mais parce que vous devez planifier le pire des cas. De même, vous devez prendre des précautions raisonnables lorsque vous utilisez des bornes de recharge pour ordinateurs. Dans la mesure du possible, utilisez une prise murale standard plutôt qu’un port USB. Sinon, pensez à charger une batterie portable plutôt que votre appareil. Vous pouvez également connecter une batterie portable et charger votre téléphone à partir de celle-ci pendant qu’il se recharge. En d’autres termes, dans la mesure du possible, évitez de connecter votre téléphone directement à des ports USB publics.
Même s’il y a peu de risques documentés, il vaut toujours mieux prévenir que guérir. En règle générale, évitez de brancher vos affaires sur des ports USB auxquels vous ne faites pas confiance.