Pour le procureur de Los Angeles, mieux vaut se méfier des chargeurs USB publics
Les voyageurs sont priés d’éviter d’utiliser des stations de charge USB publiques dans les aéroports, les hôtels et d’autres lieux, car elles pourraient contenir des logiciels malveillants dangereux, a annoncé le procureur de Los Angeles dans une alerte à la sécurité publiée la semaine dernière.
Les connexions USB ont été conçues pour fonctionner à la fois comme moyen de transfert de données et de puissance électrique, sans barrière stricte entre les deux. Alors que les smartphones sont devenus plus populaires au cours des dix dernières années, les chercheurs en sécurité ont compris qu’ils pouvaient abuser des connexions USB pour récupérer des données à l’insu de l’utilisateur.
#FraudFriday – USB Charger Scam from LADAOffice on Vimeo.
Ce type d’attaque a reçu son propre nom, “juice jacking. “
publicité
Sortez couverts
Au fil des ans, plusieurs preuves de concept ont été créées. Le plus connu est Mactans, présenté à la conférence sur la sécurité Black Hat 2013, qui était un chargeur mural USB malveillant capable de déployer des logiciels malveillants sur des appareils iOS.
Trois ans plus tard, en 2016, Samy Kamkar, chercheur en sécurité, a approfondi le concept avec KeySweeper, un appareil furtif basé sur Arduino, camouflé en chargeur mural USB fonctionnel et qui était capable d’intercepter, de décrypter, et d’enregistrer les touches frappées sur n’importe quel clavier sans fil Microsoft à proximité.
À la suite de la présentation de KeySweeper par Kamkar, le FBI avait alors envoyé une alerte nationale pour mettre en garde les entreprises contre l’utilisation de chargeurs USB et leur demander de vérifier si de tels dispositifs étaient utilisés.
En outre, en 2016, une autre équipe de chercheurs a mis au point un autre chargeur mural USB malveillant. Celui-ci pourrait enregistrer et reproduire l’écran d’un appareil branché sur le chargeur. La technique est connue sous le nom de “vidéo jacking”.
L’avertissement du procureur de district de Los Angeles [PDF] couvre de nombreux vecteurs d’attaque, car les criminels peuvent utiliser les chargeurs USB de différentes manières.
Le moyen le plus courant consiste à utiliser des chargeurs muraux USB «enfichables». Ce sont des chargeurs USB portables qui peuvent être branchés sur une prise secteur. Les criminels peuvent facilement en laisser certains “par accident” dans des lieux publics.
Des chargeurs USB sont également insérés directement dans les stations de charge installées dans des lieux publics, dans lesquels l’utilisateur n’a accès qu’à un port USB. Les autorités de Los Angeles affirment que les criminels peuvent charger des logiciels malveillants sur des stations de charge publiques. Les utilisateurs doivent donc éviter d’utiliser le port USB et continuer d’utiliser le port de charge électrique.
Mais l’avertissement du procureur s’applique également aux câbles USB laissés dans des lieux publics. Les microcontrôleurs et les composants électroniques sont devenus si petits de nos jours que les criminels peuvent cacher des mini-ordinateurs et des logiciels malveillants à l’intérieur d’un câble USB. Le câble O.MG en est un exemple. Quelque chose d’aussi anodin qu’un câble USB peut aujourd’hui dissimuler des logiciels malveillants.
OMG! 2 months + 8 devs + O•MG Cable = malicious wireless implant update!
This update brought to you by the chaos workshop elves: @d3d0c3d, @pry0cc, @clevernyyyy, @JoelSernaMoreno, @evanbooth, @noncetonic, @cnlohr, @RoganDawes
More info: https://t.co/kkhUppsqiC#OMGCable pic.twitter.com/fIzOaKJSxL
— _MG_ (@_MG_) April 12, 2019
Compte tenu de tous ces facteurs, les autorités de Los Angeles recommandent aux voyageurs:
- D’utiliser une prise secteur, pas une station de charge USB.
- De prendre des chargeurs secteur et des chargeurs de voiture pour vos appareils lorsque vous voyagez.
- D’envisager l’achat d’un chargeur portable en cas d’urgence.
Mais il existe également d’autres contre-mesures que les utilisateurs peuvent déployer. L’une d’elles est que les propriétaires d’appareils peuvent acheter des câbles USB «sans transfert de données», dans lesquels les broches USB responsables du canal de transfert de données ont été retirées, ne laissant que le circuit de transfert d’énergie. Ces câbles peuvent être trouvés sur Amazon et d’autres magasins en ligne.
Il existe également des soi-disant “préservatifs USB” qui servent d’intermédiaire entre un chargeur USB non fiable et le périphérique d’un utilisateur. SyncStop (anciennement connu sous le nom de USB Condom) et Juice-Jack Defender sont deux de ces appareils. De nombreux autres existent également et même les chercheurs de Kaspersky ont essayé d’en construire un – appelé Pure.Charger -, mais leur collecte de fonds Kickstarter n’a pas permis de collecter les fonds nécessaires.
Source : ZDNet.com
