Qu’est-ce que le Juice Jacking ? Pourquoi ne devriez-vous pas recharger votre téléphone à laéroport, à la gare et dans dautres lieux publics ?

Il existe une situation assez courante comme suit. Disons que la batterie de votre téléphone bien-aimé s'épuise lentement pendant que vous avez une conversation intéressante avec votre nouvelle petite amie sur Facebook , et que la "bonne nouvelle" est que vous avez oublié ce foutu chargeur à la maison, puis tout à coup vous voyez une borne de recharge USB publique. dans le coin. Sans hésitation, vous avez branché votre téléphone et avez continué à profiter des douces saveurs de cette conversation inachevée. Ce sentiment de confort peut faire de vous une victime de pirates informatiques qui souhaitent collecter vos informations personnelles et en tirer profit.

Qu’est-ce que le Jacking Juice exactement ?

Quel que soit le type de smartphone moderne actuel, qu'il s'agisse d'appareils Android , iPhone ou BlackBerry, il existe une caractéristique commune : la puissance de charge et le flux de données via le même port et le même câble. Que vous utilisiez la norme actuelle USB miniB, la connexion USB typeC ou le câble Lightning propriétaire d'Apple, le câble utilisé pour charger la batterie fonctionne également pour transférer et synchroniser les données sur le téléphone.

« En branchant simplement votre téléphone sur une source de recharge inconnue, votre appareil risque d'être infecté par un logiciel malveillant. Vous pourriez en payer le prix avec toutes vos données », explique Drew Paik, expert en sécurité chez Authentic8.

Les points de recharge publics Wi-Fi et téléphoniques se trouvent souvent dans des endroits comme les aéroports, les avions, les parcs ou les centres de congrès. Connecter votre téléphone à ces points de recharge comporte des risques importants.

"Le cordon que vous utilisez pour charger votre téléphone est également le cordon qui transporte les données de votre téléphone vers un autre appareil. Par exemple, lorsque vous connectez votre iPhone à votre Mac à l'aide du cordon de chargement, vous pouvez télécharger des photos de votre téléphone vers votre Mac. Si le port de recharge public est piraté, les méchants peuvent avoir un accès illimité à vos données", a expliqué M. Paik.

Ces données peuvent être des e-mails, des messages, des photos ou des contacts. Cette méthode de piratage d'informations est appelée "juice jacking" - un terme créé en 2011. L'année dernière, les gens ont également découvert la méthode de "video jacking", utilisant des ports de connexion et des écrans de téléphone piratés pour enregistrer tout ce que l'utilisateur tape et regarde.

On peut simplement comprendre qu’il s’agit d’atteintes à la vie privée. Plus précisément, des données telles que des photos privées et des informations de contact seront copiées sur des appareils malveillants via des connexions à des chargeurs publics. De plus, les pirates peuvent également transmettre du code malveillant directement sur votre appareil, puis voler des informations sur une longue période. Lors de la conférence sur la sécurité BlackHat de cette année, les chercheurs en sécurité Billy Lau, YeongJin Jang et Chengyu Song ont présenté le thème « MACTANS : Introducing malware to iOS devices through unsecured chargers. » Bao » et voici un extrait de leur présentation :

« Dans cette présentation, nous démontrons comment les appareils iOS peuvent être compromis une minute seulement après avoir été branchés sur un chargeur malveillant. Nous passerons d'abord en revue les mécanismes de sécurité existants d'Apple pour se protéger contre l'installation arbitraire de logiciels, puis décrirons les manières dont les ports USB peuvent être exploités comme outils pour contourner ces mécanismes de protection. Pour prouver l'existence d'un code malveillant, nous allons vous montrer comment les attaquants peuvent cacher leurs logiciels malveillants de la même manière qu'Apple cache ses propres applications intégrées. Pour démontrer les conséquences concrètes de ces failles de sécurité, nous avons rassemblé des informations sur un concept de chargeur malveillant utilisant BeagleBoard, appelé Mactans.

En utilisant du matériel bon marché et en profitant des vulnérabilités de sécurité des appareils, les pirates peuvent accéder aux appareils iOS actuels en moins d'une minute, malgré les nombreuses mesures de sécurité mises en place par Apple pour faire face à ce problème.

Il y a de nombreuses années, lors de la conférence sur la sécurité DEF CON 2011, les chercheurs en sécurité d'Aires Security : Brian Markus, Joseph Mlodzianowski et Robert Rowley, ont construit une borne de recharge pour démontrer spécifiquement le danger du Juice Jacking et avertir le public des dangers de la connexion de téléphones. aux bornes de recharge toxiques.

Ce qui est encore plus troublant, c'est que l'exposition à des bornes de recharge malveillantes peut créer un problème de sécurité qui persiste même une fois que l'appareil n'est plus connecté à cette borne de recharge. Dans un article récent sur le sujet, le chercheur en sécurité Jonathan Zdziarski explique comment les vulnérabilités de couplage dans iOS persistent et peuvent donner à un utilisateur malveillant une fenêtre sur votre appareil même après que vous n'êtes plus en contact avec le kiosque :

« Si vous ne savez pas comment coupler votre iPhone ou iPad, il s'agit du mécanisme de couplage par lequel votre ordinateur établit une connexion fiable avec votre téléphone, se connectant ainsi à iTunes, Xcode ou d'autres outils. Une fois qu'un ordinateur de bureau a été associé à un téléphone, il peut accéder à une série d'informations personnelles sur ce téléphone, notamment les contacts, les notes, les photos, la collection de musique, la base de données SMS, la mise en cache et peut même sauvegarder toutes les données du téléphone. Une fois qu'un appareil est couplé, tout cela et bien plus encore est accessible sans fil à tout moment, que la synchronisation WiFi soit activée ou non. Ces malwares peuvent être comparés à un virus chronique, ils ne disparaissent que lorsque votre iPhone ou iPad restaure ses paramètres d'origine.

Comment éviter le Juice Jacking ?

Bien que Juice Jacking ne soit pas actuellement une menace aussi courante que le vol de téléphone ou l'exposition à des virus malveillants via des téléchargements, vous devez tout de même prendre des précautions de bon sens pour éviter une exposition supplémentaire à des systèmes qui pourraient obtenir un accès malveillant à votre appareil personnel.

Le moyen le plus efficace et le plus simple d'éviter cela est simplement de limiter ou d'éviter complètement de charger votre téléphone à partir de systèmes de charge tiers :

Évitez que vos appareils ne soient à court de batterie : prenez l'habitude de recharger vos téléphones à la maison et au bureau lorsque vous ne les utilisez pas. La technologie actuelle de la batterie vous permet de charger et de débrancher confortablement sans vous soucier de l'épuisement de la batterie, alors essayez de garder votre smartphone complètement chargé avant de sortir. En plus de garantir que votre téléphone conserve une durée de vie adéquate de la batterie, vous pouvez également utiliser des applications prenant en charge la gestion de l'énergie et l'économie de la batterie. L’efficacité de ces applications est encore relativement méconnue, mais c’est certainement mieux que de ne rien faire.

Utilisation d'un chargeur de secours : C'est le moyen le plus populaire et le plus pratique de charger la batterie de votre téléphone aujourd'hui. Si vous n'êtes pas chez vous, branchez simplement votre téléphone sur la batterie pour charger la batterie quand vous le souhaitez. En utilisant cette méthode de chargement, vous n'aurez pas à vous soucier des problèmes de sécurité, mais en retour vous devrez dépenser une petite somme d'argent pour acheter une batterie de secours ainsi que choisir le type approprié pour limiter les risques d'incendie et d'explosion lorsqu'ils ne le sont pas. en cours d'utilisation. Heureusement, j'ai acheté un type moins sûr.

Utilisez votre propre chargeur avec une prise secteur : dans certains cas, les bornes de recharge publiques peuvent disposer à la fois d'une prise secteur standard et d'un port de chargement USB pour s'adapter aux vitesses de chargement. Dans ce cas, ignorez les ports de chargement USB et branchez le chargeur standard de votre téléphone directement sur la prise secteur. Il n'y a aucun risque pour la sécurité lorsque vous utilisez une prise de courant CA, même si le trafic réseau est transmis via le cordon d'alimentation. Votre appareil sera en sécurité tant que vous utilisez un chargeur fiable.

Verrouillez votre téléphone : lorsque votre téléphone est verrouillé, il ne pourra pas se coupler avec l'appareil connecté. Par exemple, les appareils iOS ne s'associeront qu'une fois déverrouillés. Mais encore une fois, comme nous l'avons indiqué précédemment, le couplage ne prend que quelques secondes, vous devez donc vous assurer que votre téléphone est bien verrouillé pendant le chargement.

Éteignez le téléphone : Cette méthode ne s’applique qu’à certains modèles de téléphone. Même si le téléphone est éteint, l'ensemble du circuit USB reste allumé et permet d'accéder à la mémoire flash de l'appareil.

Désactiver le couplage (s'applique uniquement aux appareils iOS jailbreakés) : les appareils iOS jailbreakés permettent aux utilisateurs de contrôler le comportement de couplage de l'appareil.

Utilisez un adaptateur de charge uniquement : C’est la dernière mesure que vous pouvez utiliser, très efficace mais un peu gênante. Vous pouvez acheter des adaptateurs de recharge uniquement, ils sont assez bon marché. Il n'y a absolument aucun problème avec ce type d'adaptateur. Ils ressemblent à un petit dongle que vous branchez sur un port USB avant de connecter le câble de chargement de votre téléphone. Les broches de connexion qui jouent le rôle de transfert de données seront déconnectées dans ce dongle, pour permettre uniquement la transmission de l'énergie via la connexion.

Cependant, ce type d'adaptateur présente également un petit inconvénient, à savoir qu'il ne prend en charge que la charge avec une source d'alimentation limitée à 1A, ce qui signifie que vous ne pouvez utiliser aucune autre technologie de charge rapide. 1A est la puissance maximale que vous obtenez. Cependant, de nombreux ports de chargement USB publics ont des vitesses de chargement encore plus lentes. De plus, il convient de noter que les appareils ne se chargeront qu'à 500 mA (0,5 A) à partir du port USB d'un ordinateur, cet adaptateur peut donc accélérer la charge si vous chargez votre appareil à partir d'un ordinateur portable ou d'un ordinateur de bureau.

Si vous utilisez des appareils Android, vous pouvez également acheter des câbles de charge uniquement qui agissent comme un dongle, car les broches de données du câble seront manquantes, ce qui entraînera des connexions destinées à transférer des données. L'échange de données ne sera jamais possible par câble. En ce qui concerne les appareils utilisant le port Lightning d'Apple, il semble qu'il n'existe actuellement aucun produit de câble Lightning vers USB uniquement chargé sur le marché. Cependant, les utilisateurs iOS peuvent toujours utiliser des adaptateurs de charge uniquement, qui peuvent fonctionner avec les iPhones et les téléphones Android.

En fin de compte, la meilleure défense contre les abus réside dans votre propre conscience. Gardez toujours votre appareil complètement chargé, mettez régulièrement à jour les fonctionnalités de sécurité fournies par le système d'exploitation (même si elles ne sont pas faciles à utiliser et que tout système de sécurité peut être exploité) et enfin, évitez de brancher votre téléphone sur des bornes de recharge et des ordinateurs inconnus de la même manière que vous évitez ouvrir des pièces jointes à des e-mails provenant d'expéditeurs inconnus.

En savoir plus :

• Comment protéger votre ordinateur contre la vulnérabilité de sécurité Foreshadow
• Top 10 des programmes antivirus compacts pour USB
• Que faire si votre ordinateur est infecté par un virus ?
• Supprimez complètement les logiciels malveillants (malware) sur les ordinateurs Windows 10
• Comment utiliser les ports de chargement USB publics en toute sécurité ?