Piratage smartphone lors de la recharge

[Pit]

Un peu de vulgarisation et sensibilisation informatique !

Ils font fort les pirates cyber-malveillants. Ils ont inventé, il y a quelque temps déjà, le "juice jacking" !
Imaginez que vous vous trouvez dans un lieu public, comme un aéroport, un café, un magasin, ...etc... et que vous voyez une borne de recharge ou bien un câble de recharge qui semble pratique à utiliser. Beaucoup vont se précipiter car leur smartphone, leur tablette, PC portable ou autre appareil, a besoin d'être rechargé (et en plus c'est gratuit !)
Oui, mais :
- le câble peut très bien être un câble USB trafiqué, rien ne le différencie visuellement du votre
- la prise USB du lieu public a peut-être été manipulée ou infectée par un pirate.
Rappel important :
la connexion USB a d'abord été conçu comme un moyen pour échanger des données, et accessoirement pour recharger la batterie de l'appareil.
Donc les pirates ont pensé à ça pour :

• voler les données contenues sur l'appareil pendant tout le temps du branchement.
• installer un logiciel malveillant en vue de bidouillage du téléphone ou de l’ordinateur, d’écouter (ou visualise) l'utilisateur à son insu, ou blocage de l’accès de l’utilisateur à l’appareil (--> ransomware), ou le vol d’informations bien après que la prise soit débranchée.
• contaminer tout ce qui va se connecter à l'appareil infecté, vous aurez sans doute du mal à penser à l'origine du mal si l'appareil infecté marche toujours correctement, en apparence !

Les versions récentes des systèmes d'exploitation de nos appareils incluent des messages quand ils détectent la présence d'un appareil USB mais beaucoup de gens n'y font pas attention ou ne comprennent pas la notification --> ils acceptent / autorisent la connexion. Cependant, les pirates les plus avancés savent, parait-il, leurrer le système d'exploitation.
En conclusion :
il faut recharger son téléphone ou son PC avec le câble et le chargeur d'origine et le brancher sur une prise secteur !
On peut utiliser la recharge sur une batterie externe (une "power bank"),
mais - mode paranoïa ON - il faut qu'elle soit fiable, non trafiquée.
Il est aussi possible d'acheter un "préservatif" USB ("data blocker" USB), c'est pas cher MAIS comment vérifier qu'il n'a pas été trafiqué lui aussi ?
Mode paranoïa OFF
.
Personnellement, en cas d'obligation, je préférerai désactiver temporairement le transfert de données USB.
La recharge de la batterie et la connexion USB pour le transfert de données sont souvent gérées séparément par le système d'exploitation Android --> à vérifier si c'est le cas pour vous, regardez le manuel et/ou interrogez Internet à propos de votre version d'Androïd..
Pour les PC sous Windows ou sous Linux, on peut aussi désactiver temporairement l'USB.
Pour ce qui est des iPhones et des Mac, je ne suis pas compétent.
Mode paranoïa ON
Autres soucis potentiels apparentés :

• les USB Killer --> consulter Internet pour en savoir plus
• l'utilisation d'un réseau WIFI public (ou d'un réseau qui fait croire qu'il est public) : a minima, configurer correctement votre pare-feu.

Mode paranoïa OFF
Bon après-midi.

[Pascal]

Coucou Pierre,

eh oui.. les pirates évoluent en même temps que la technologie, mais il ne faut pas non plus paniquer, généralement une bonne prévention/prudence et des gestes simples suffisent..

Et en fait c'est pas nouveau le piratage des smartphones, j'avais la connaisance d'un vrai pro informaticien (mais pas pirate), il pouvait rentrer dans n'importe quel téléphone du moment que le BT était activé, il m'en avait fait la démonstration dans un bistrot, il lui suffisait d'être dans le périmètre d'émission.. (ça date un peu, mais depuis ça, je peux vous garantir que je coupe le BT dans tous les lieux fréquentés)

[Pit]

Tout à fait d'accord avec toi Pascal :
il suffit généralement de gestes simples, mais combien de personnes respectent les bonnes pratiques ?
Combien ne regardent pas ou ne comprennent pas les notifications de leur système : on clique sans réfléchir !!

Pour ce qui est du Blue Tooth, qui effectivement présente des risques du même genre que l'USB, les bonnes pratiques à suivre sont :
- Désactiver la visibilité : désactivez le Bluetooth lorsque cela n'est pas nécessaire
- Activer l'appairage sécurisé pour que seuls des appareils autorisés puissent se connecter.
- Utiliser des codes PIN robustes et difficiles à deviner.
- Faire les mises à jour du système,
Et prudence avec les connexions inconnues : ne pas se connecter à des dispositifs Bluetooth inconnus ou accepter des demandes de connexion non sollicitées.
Portée du Blue Tooth classique : souvent jusqu'à 2O mètres (et ça peut aller beaucoup beaucoup plus loin, en particulier à l'extérieur, sans obstacles, avec des appareils Blue Tooth 5).