Aurich Lawson | Getty Images
Les autorités fédérales, les experts en technologie et les médias veulent que vous soyez à l’affût d’une cyberattaque effrayante qui peut pirater votre téléphone lorsque vous ne faites rien de plus que le brancher sur une borne de recharge publique. Ces avertissements de «juice jacking», comme la menace est désormais connue, circulent depuis plus d’une décennie.
Plus tôt ce mois-ci, cependant, les craintes de juice jacking ont atteint un nouveau sommet lorsque le FBI et la Federal Communications Commission ont publié de nouveaux avertissements sans fondement qui ont généré des reportages inquiétants de la part de centaines de points de vente. NPR a rapporté que le crime “devient plus répandu, peut-être en raison de l’augmentation des voyages”. Le Washington Post a déclaré qu’il s’agissait d’un “risque important pour la vie privée” qui peut identifier les pages Web chargées en moins de 10 secondes. CNN a averti qu’en se connectant simplement à un chargeur malveillant, “votre appareil est maintenant infecté”. Et un titre de Fortune avertissait les lecteurs : “Ne laissez pas une charge USB gratuite vider votre compte bancaire.”
La comète de Halley de la cybersécurité fait peur
Le scénario du juice jacking ressemble à ceci : un pirate installe un équipement dans un aéroport, un centre commercial ou un hôtel. L’équipement imite l’apparence et les fonctions des bornes de recharge normales, qui permettent aux gens de recharger leurs téléphones portables lorsqu’ils sont à court d’énergie. À l’insu des utilisateurs, la station de charge envoie subrepticement des commandes via le connecteur USB ou Lightning du cordon de charge et vole des contacts et des e-mails, installe des logiciels malveillants et fait toutes sortes d’autres choses néfastes.
“Les logiciels malveillants installés via un port USB corrompu peuvent verrouiller un appareil ou exporter des données personnelles et des mots de passe directement vers l’auteur”, a averti la FCC au début du mois. “Les criminels peuvent ensuite utiliser ces informations pour accéder à des comptes en ligne ou les vendre à d’autres acteurs malveillants. Dans certains cas, les criminels peuvent avoir intentionnellement laissé des câbles branchés aux bornes de recharge. Il y a même eu des rapports de câbles infectés distribués comme cadeaux promotionnels.
Quelques jours plus tôt, le bureau extérieur du FBI à Denver avait publié sa propre alerte de juice jacking, écrivant notamment : “Des acteurs malveillants ont trouvé des moyens d’utiliser les ports USB publics pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils”. Pour ne pas être en reste, le procureur général du Michigan, Dana Nessel, a déclaré que le juice jacking “est encore une autre façon néfaste que les mauvais acteurs ont découverte et qui leur permet de voler et de profiter de ce qui ne leur appartient pas”.
Publicité
Contrairement aux communications gouvernementales, la grande majorité des experts en cybersécurité ne préviennent pas que le juice jacking est une menace à moins que vous ne soyez la cible de pirates informatiques d’États-nations. Il n’y a aucun cas documenté de juice jacking dans la nature. Les avertissements ne mentionnent pas que les iPhones et les appareils Android modernes exigent que les utilisateurs cliquent sur un avertissement explicite avant de pouvoir échanger des fichiers avec un appareil connecté par des câbles standard.
-
L’avertissement initial vu lors du branchement d’un iPhone.
-
L’écran suivant, qui nécessite un mot de passe.
-
L’avertissement initial vu après avoir branché un Pixel 7.
-
L’écran qui suit.
“À un niveau élevé, si personne ne peut citer un exemple concret de ce qui se passe réellement dans les espaces publics, alors ce n’est pas quelque chose qui mérite d’être souligné pour le grand public”, a déclaré Mike Grover, un chercheur qui conçoit des outils de piratage offensifs et effectue des recherches sur le piratage offensif pour les grandes entreprises, a déclaré dans une interview. « Au lieu de cela, cela indique la viabilité uniquement pour des situations ciblées. Les personnes à risque ont, espérons-le, de meilleures défenses qu’un avertissement nébuleux.
Il a ajouté: «J’ai entendu parler de personnes modifiant intentionnellement la tension des chargeurs publics, mais ce ne sont que des trucs stupides et malveillants. En ce qui concerne les sources de charge publiques, j’ai l’impression qu’un plus grand risque est une qualité d’alimentation merdique et des connecteurs endommagés.
Il existe des cas extrêmes qui permettent aux claviers – ou aux appareils se faisant passer pour des claviers – d’entrer des commandes qui font des choses malveillantes lorsqu’ils sont connectés à un iPhone et à un appareil Android. Mais ces attaques doivent être personnalisées pour chaque modèle de téléphone branché. De plus, ces techniques ont des limites importantes qui les rendent impraticables pour le juice jacking.
Plus d’informations sur ces cas extrêmes et leurs lacunes plus tard. En résumé, personne n’a démontré au cours des cinq dernières années une attaque de juice jacking viable sur un appareil exécutant une version moderne d’iOS ou d’Android. Les représentants d’Apple ne sont pas au courant de telles attaques se produisant dans la nature (les représentants de Google n’ont pas répondu aux nombreuses demandes de commentaires), et je n’ai pas non plus trouvé d’experts en sécurité qui en connaissaient. Et comme indiqué précédemment, il n’y a aucun cas documenté de juice jacking dans la nature.