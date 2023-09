Qu’est-ce qui est pire, votre téléphone à court d’énergie ou quelqu’un qui vole toutes vos données ?

Depuis des années maintenant, on vous dit que c’est un choix auquel vous pourriez être confronté, grâce à ce qu’on appelle le « juice jacking ». Le juice jacking se produit lorsque quelqu’un altère une station de charge ou un port USB, lui permettant de filtrer les données de votre téléphone ou d’y installer des logiciels malveillants pendant que vous rechargez votre batterie. À partir d’avril et tout au long de l’été, tout le monde, du le FBI À Huntley, dans l’Illinois, le service de police a mis en garde le public contre le juice jacking. Cela ressemble à une nouvelle menace active.

Il y a juste un problème : ce n’est pas le cas. Les chances qu’une charge de téléphone gâche votre vie ne sont pas nulles, mais elles sont extrêmement minces. Il n’existe aucun cas connu de juice jacking au-delà des démonstrations de validation de principe. La vague d’avertissements que nous recevons actuellement ne provient pas d’attaques réelles, mais d’avertissements antérieurs. Le Juice Jacking est un ouroboros de la cybersécurité qui ne mourra pas.

« Étant donné le nombre d’autres menaces de sécurité graves et actives dont les gens peuvent légitimement s’inquiéter, il me semble que l’utilisateur moyen ne devrait pas du tout s’inquiéter à ce sujet », Brian Krebs, l’expert en cybersécurité qui a inventé le terme » jus de jacking », a déclaré Vox.

Le monde a découvert le juice jacking pour la première fois en 2011, lorsqu’une démonstration lors de la conférence sur le piratage et la cybersécurité DEF CON a montré que c’était possible. Brian Markus, co-fondateur d’Aries Security, et un autre chercheur nommé Robert Rowley, ont constaté que le chargement USB était une vulnérabilité potentielle et ont construit une station de chargement pour le prouver. Ils ont posé le kiosque par terre et ont attendu de voir qui serait attiré par ses promesses de recharge de batterie gratuite et facile. Plus de 360 ​​​​personnes, dont beaucoup de hackers expérimentés et de professionnels de la cybersécurité, ont branché leurs téléphones mourants sans y réfléchir à deux fois. Lorsqu’ils l’ont fait, ils ont été accueillis par un avis sur l’écran du kiosque les avertissant de ne pas faire confiance aux bornes de recharge publiques aléatoires.

« Si je peux y arriver, et si je peux duper des centaines et des centaines de professionnels de haut niveau à travers le monde pour qu’ils l’utilisent, alors je pense que le citoyen moyen du quartier va se laisser prendre au piège », a déclaré Markus dans une interview avec Vox. .

Le Juice Jacking est possible grâce à ce pour quoi la technologie Universal Serial Bus, ou USB, a été conçue. Un port sert à plusieurs fins : vous pouvez charger ou alimenter un appareil, ou transférer des données vers et depuis celui-ci. Si vous vous souvenez de l’époque où chaque périphérique avait besoin de son propre cordon et de son propre port, vous savez à quel point cela rendait les choses plus pratiques. Mais cela a également introduit un nouveau vecteur d’attaque, comme Markus l’a identifié : les données peuvent être échangées lorsque vous avez uniquement l’intention d’obtenir de l’électricité. Et, en 2011, les téléphones s’ouvraient automatiquement aux deux objectifs dès qu’ils étaient connectés.

La plupart des fabricants de téléphones ont depuis ajouté une invite demandant à l’utilisateur s’ils autorisent l’échange de données. C’est à cela que sert le message « Faites confiance à cet appareil » que vous recevez lorsque vous branchez votre téléphone à un ordinateur. (Si vous branchez votre téléphone à quelque chose qui n’est qu’une source d’alimentation, vous ne devriez pas recevoir ce message.) Si vous appuyez sur le fait que vous ne faites pas confiance à l’appareil, il ne peut pas échanger de données pendant que le téléphone est chargé. C’est d’ailleurs exactement ainsi que ces choses sont censées fonctionner : quelqu’un signale une vulnérabilité technologique et ses fabricants ou développeurs trouvent un moyen de la corriger.

Dans les années qui ont suivi cette démonstration DEF CON, des avertissements de jus de source ont parfois surgi, souvent formulés de manière à donner l’impression que ces chargeurs infâmes ne sont pas seulement une menace théorique, mais une menace qui sévit désormais dans la nature, avec une traînée de des téléphones piratés dans son sillage. Voici plusieurs rapports datant de 2013, lorsque les « préservatifs » USB – de petits dongles qui bloquent le transfert des données sur les cordons USB – ont été mis en vente. Voici quelques alertes en 2016. Une autre récolte d’avertissements en 2019. Et voici une vague en 2020. Ces alertes s’accompagnent généralement d’une forte couverture médiatique, qui note rarement (à quelques exceptions notables) qu’il n’y a pas de rapports connus. de ces bornes de recharge falsifiées trouvées dans le monde, ni des données de quiconque volées ou des logiciels malveillants installés sur leurs appareils par leur intermédiaire. Et pourtant, les avertissements persistent.

Le dernier cycle de peur du juice jacking a commencé le 6 avril avec un tweet du compte du bureau du FBI à Denver. « Évitez d’utiliser des bornes de recharge gratuites dans les aéroports, les hôtels ou les centres commerciaux », précise-t-il. « Les acteurs malveillants ont trouvé des moyens d’utiliser les ports USB publics pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils. »

Un certain nombre d’États, de localités et de médias ont alors lancé leurs propres avertissements. Lorsque le FBI – ou simplement l’un de ses bureaux extérieurs – déclare qu’il s’agit d’une menace, les gens ont tendance à le prendre au sérieux. Certains d’entre eux ont même décrit cela comme une chose « nouvelle », bien qu’elle ait été identifiée pour la première fois il y a 12 ans. Par exemple, le procureur général du Michigan, Dana Nessel, a émis un avertissement indiquant que « les pirates informatiques installeront et cacheront un dispositif de détection à l’intérieur des ports USB du kiosque ». Le bureau du procureur général a déclaré à Vox que l’avertissement avait été motivé par le tweet du FBI.

« Nous n’avons reçu aucune plainte spécifique pour ‘juice jacking’ ici dans le Michigan, même si une victime peut ne pas savoir comment son téléphone a été compromis », a déclaré Danny Wimmer, porte-parole du bureau, à Vox. Cet avertissement a déclenché une nouvelle vague de couverture médiatique de la part des médias locaux.

Et qu’est-ce qui a motivé le tweet du bureau du FBI à Denver ? Il s’avère qu’il ne s’agit pas d’une cyberattaque, mais d’un vieil avertissement de la FCC.

« Ce tweet du FBI à Denver était un message standard de type PSA, rien de nouveau. Cela découle de cet avertissement de la FCC », a déclaré Dana M. Plumhoff, porte-parole du bureau du FBI à Denver. « Il s’agissait d’un rappel général au public américain de rester en sécurité et diligent, en particulier lorsqu’il voyage. »

Vous ne le sauriez pas si vous regardiez maintenant l’avertissement de la FCC concernant le détournement de jus. L’agence l’a mis à jour fin avril pour refléter l’attention accrue qu’elle a indirectement suscitée. Mais avec un horodatage mis à jour en 2023 et une nouvelle URL, la page Web semble être un tout nouvel avertissement. La FCC a pris soin de préciser dans cette itération qu’elle n’avait connaissance d’aucun cas de jus-jacking, mais que c’était théoriquement possible.

La FCC n’a pas répondu à une demande de commentaires sur ce qui a motivé l’avertissement de 2019, mais il semble qu’il s’agisse d’une alerte du bureau du procureur du comté de Los Angeles. Ce bureau a déclaré à TechCrunch qu’il n’avait eu aucun cas de juice jacking et que l’avertissement faisait partie d’une campagne d’éducation des consommateurs. Le porte-parole a déclaré qu’il était au courant de cas similaires survenus sur « la côte est », mais n’a pas été en mesure de fournir plus de détails lorsqu’il a été pressé.

Alors, pourquoi cela continue-t-il à revenir ? Eh bien, il s’agit de quelque chose que la plupart d’entre nous ont fait – charger nos téléphones dans un lieu public – et n’y avons jamais réfléchi à deux fois. Cela semble plausible parce que c’est le cas, surtout si vous pensez à d’autres exemples similaires, très réels et actifs, de criminels utilisant des appareils publics pour vous voler, comme les écrémeurs de cartes de crédit. Cela ressemble à quelque chose dans lequel n’importe qui pourrait tomber, et les conséquences peuvent être dévastatrices.

Voici la bonne nouvelle : la plupart des téléphones, mais pas tous, comportent cet avertissement de confiance. Les batteries des téléphones se sont également améliorées au fil des années, augmentant ainsi le temps nécessaire entre les charges. Mais peut-être avez-vous un vieux téléphone ou le système d’exploitation de votre téléphone n’a pas cet avertissement. Peut-être que vous ne vous faites pas confiance pour ne pas appuyer par erreur sur le bouton « confiance » lorsqu’il apparaît.

Ou peut-être que vous n’êtes tout simplement pas à l’aise avec la possibilité, même théorique, que cela puisse se produire. Après tout, ce n’est pas parce que cela ne semble pas encore s’être produit au cours des 12 années qui se sont écoulées depuis que le public l’a découvert pour la première fois que cela ne se produira jamais. Markus dit qu’il est relativement simple de créer une borne de recharge apparemment légitime et de la placer dans une zone à fort trafic où de nombreuses personnes sont susceptibles d’essayer de recharger leur téléphone. Ensuite, tout ce qu’un pirate informatique aurait à faire serait de s’asseoir et d’attendre ses victimes.

« Il s’agit toujours d’un risque actif », a déclaré Markus. « Personnellement, je crois que les bornes de recharge dans les aéroports sont sensibles. »

Dans cet esprit, si vous êtes enclin à être extrêmement prudent, vous pouvez prendre quelques mesures simples pour vous protéger.