Alerte Juice Jacking : pourquoi les bornes de recharge publiques pour smartphone sont-elles dangereuses ?

Au cours des dernières semaines, nous avons entendu parler d’un l’alarme donnée par le FBI liés à une menace appelée juice jacking liée à la recharge d’appareils mobiles sur des bornes de recharge. Combien de fois est-il arrivé de voir des bornes de recharge de smartphones dans les gares, les aéroports ou les salles de sport, et la question que l’utilisateur doit se poser est : sont-elles vraiment sûres ?

Il convient de rappeler que recharger un smartphone sur des bornes de recharge pourrait conduire à l’installation de logiciels malveillants sur les appareils avec leur handicap. Une fois le smartphone connecté à la borne de recharge, le code malveillant permettra d’accéder aux données du téléphone.

Il existe plusieurs options pour installer des logiciels malveillants sur le chargeur, par exemple en compromettant le kiosque ou en laissant intentionnellement des câbles, convenablement modifiés afin qu’ils puissent inoculer des logiciels malveillants, connectés aux bornes de recharge. L’attaque est loin d’être nouvelle, en 2011 c’était introduit lors de l’une des plus importantes conférences de piratage au monde, le Defcon de Las Vegas. A l’occasion, les chercheurs Brian Markus, Joseph Mlodzianowski et Robert Rowley ont installé une borne de recharge pour smartphones afin de démontrer l’attaque. La station de charge était équipée d’une variété de câbles de charge adaptés aux appareils mobiles les plus populaires de l’époque ; en connectant un appareil à la station, l’écran affichait un message avertissant les utilisateurs des risques possibles, mais beaucoup ont ignoré cette suggestion : « Vous ne devez pas faire confiance aux kiosques publics avec votre smartphone. Les informations peuvent être récupérées ou téléchargées sans votre consentement. Heureusement pour vous, cette station a pris la voie éthique et vos données sont en sécurité. Profitez de la recharge gratuite !”.

Il faut dire que les appareils de l’époque utilisaient un processus de synchronisation qui a été automatiquement démarré en les connectant à un ordinateur. Suite à la démonstration de l’attaque, les principaux fabricants de smartphones ont modifié le mécanisme de synchronisation.

D’autre part, le technologie a évolué au fil des ans, permettant aux chercheurs en sécurité de développer des systèmes miniaturisés pouvant être utilisés dans une attaque de juice jacking. Un exemple est le câble OH MON DIEUdisponible pour environ 180 $ et commercialisés pour permettre aux testeurs de stylet de compromettre les appareils qui s’y connectent. Le câble OMG possède une puce mémoire et un émetteur wifi à l’intérieur qui permettent à un attaquant distant d’accéder au smartphone connecté.

Mais pourquoi le juice jacking est-il revenu parler pendant cette période ? La raison réelle n’est pas claire, mais l’intérêt a augmenté en ligne suite à deux alertes émis respectivement du bureau du FBI à Denver et de Commission fédérale des communications (FCC) Américain.

Probable que les avertissements émis par les autorités américaines ne soient pas liés à épisodes spécifiquesCependant, il est important de connaître la menace et de suivre des règles simples pour éviter d’être victime de ces attaques.

Tout de suite quelqu’un de suggestions fourni par l’agence américaine FCC :

• Évitez d’utiliser une station de charge USB publique, utilisez plutôt une prise de courant.
• En déplacement emportez des magazines avec vouschargeurs de voiture et leurs propres câbles USB.
• Emportez avec vous un chargeur portable ou une batterie externe.
• Envisager la possibilité de apporter un câble de charge uniquementc’est-à-dire empêcher l’envoi ou la réception de données pendant la charge.
• Si vous branchez votre appareil sur un port USB et qu’un message s’affiche vous demande de sélectionner Partager des données o Chargement uniquementsélectionnez toujours la deuxième option.