Quels sont les dangers du chargement des smartphones dans les stations publiques ?
Sophos Cybersecurity, IT-Security, Smartphone
Services professionnels pour la sécurité des données
Le FBI et la FCC ont récemment averti que des criminels utilisaient des ports USB publics pour placer des logiciels malveillants et des dispositifs de surveillance sur des appareils. Paul Ducklin, expert de Sophos, a testé différents smartphones et donne des conseils de sécurité.
Si vous n'avez jamais entendu le mot-clé de cybersécurité "juicejacking", ne paniquez pas. Le terme s'est imposé au début des années 2010, mais il joue toujours un rôle dans le quotidien des smartphones - et a récemment fait l'objet d'une attention étonnamment nouvelle, notamment de la part du FBI, en raison de ses mises en garde permanentes. Commençons tout d'abord par une brève explication du concept : les personnes en déplacement, notamment dans les aéroports où leur chargeur de téléphone est profondément caché dans leur bagage à main ou déjà coincé dans la soute d'un avion, s'inquiètent souvent de la charge de la batterie. Le spectre de la batterie vide, qui nous hante depuis l'apparition des téléphones portables, hante toujours le monde des smartphones et, malgré les adaptateurs secteur et autres, on profite justement en voyage de chaque occasion pour recharger la batterie - au cas où il n'y aurait plus de possibilité de le faire dans un avenir proche.
Ce qui se passe dans votre dos
C'est là que les criminels du juicehacking entrent en jeu. Les smartphones sont généralement rechargés à l'aide d'un câble USB spécialement conçu pour l'alimentation et le transfert de données. Que se passerait-il si, de l'autre côté de la station de charge, se trouvait un ordinateur qui non seulement fournit un courant continu de 5 volts, mais qui tente également d'interagir avec le téléphone dans votre dos ? Réponse simple : vous ne pouvez pas être sûr. C'est pourquoi Apple et Google ont tous deux mis en œuvre depuis longtemps des paramètres par défaut qui éliminent l'effet de surprise en affichant une demande de sécurité lorsque vous vous connectez à un appareil inconnu et en vous demandant si vous devez lui faire confiance. Outre le fait qu'un utilisateur peut toujours être tenté de faire confiance à un nouvel appareil, il est théoriquement impossible d'obtenir des données dans le dos du propriétaire, à moins que ce dernier ne prenne lui-même des mesures.
Au vu des récents avertissements du FBI et de la FCC, il est donc quelque peu surprenant que des criminels utilisent des ports USB publics pour introduire des logiciels malveillants et de surveillance dans des appareils. Pour éviter tout doute : vous devriez, dans la mesure du possible, utiliser votre propre chargeur et ne pas compter sur des câbles ou des ports USB inconnus. Ne serait-ce que parce que personne ne peut savoir à quel point le convertisseur de tension du circuit de charge est sûr et fiable.
Quel est le niveau de sécurité des données ?
Mais qu'en est-il du risque que des informations privées soient secrètement aspirées par un chargeur qui fait également office d'ordinateur hôte et tente de contrôler un appareil connecté sans autorisation ? Les améliorations de la sécurité introduites dans le sillage de l'outil Mactans-Juicejacking en 2011 sont-elles toujours d'actualité ?
L'expert de Sophos Paul Ducklin l'a testé et, en se basant sur la connexion d'un iPhone (iOS 16) et d'un Google Pixel (Android 13) à un Mac (macOS 13 Ventura) et à un ordinateur portable Windows 11 (build 2022H2), il conclut : "Oui, les requêtes remplissent toujours leur rôle. Tout d'abord, aucun téléphone ne se connecte automatiquement à macOS ou à Windows la première fois qu'il est connecté, qu'il soit verrouillé ou déverrouillé. En outre, une fenêtre contextuelle de confirmation indique clairement qu'un appareil tiers souhaite accéder, ce qui doit être confirmé activement.
Mais comme le diable se cache dans les détails, les propriétaires de smartphones peuvent jouer la carte de la sécurité malgré ces barrières de sécurité subtiles.
Voici ce à quoi il faut faire attention :
-
Évitez autant que possible de brancher des prises ou des câbles de charge inconnus. Même une station de recharge bien configurée peut ne pas offrir la qualité de courant et la régulation de tension souhaitées. Évitez également les chargeurs muraux bon marché ou la recharge via votre propre ordinateur portable.
-
Verrouillez ou éteignez votre téléphone avant de le connecter à un chargeur public ou à l'ordinateur d'une autre personne. Cela minimise le risque d'exposer accidentellement des fichiers actifs malveillants. Cela permet également de garantir le verrouillage de l'appareil en cas de vol sur un chargeur multi-utilisateurs.
-
Si vous possédez un iPhone, il se peut que vous ne fassiez pas confiance à tous les appareils. Cela permet de s'assurer que les appareils auxquels vous faisiez confiance auparavant et que vous avez peut-être configurés par erreur lors d'un précédent voyage ne sont pas oubliés.
- Envisagez d'acheter un câble USB ou une fiche d'adaptation uniquement pour l'alimentation. Les connecteurs USB-A sans données sont faciles à reconnaître, car ils n'ont que deux connexions électriques métalliques à l'intérieur du boîtier, sur les bords extérieurs de la prise, au lieu de quatre sur toute la largeur. Notez que les connecteurs internes ne sont pas toujours visibles immédiatement, car ils n'atteignent pas le bord de la prise, de sorte que les connecteurs électriques établissent le contact en premier.