Alerte : les chargeurs USB publics pourraient voler des données ou infecter des appareils

Les cybercriminels continuent de montrer qu’ils sont prêts à attaquer à la moindre occasion. Ils ont déjà été surpris en train de modifier les connexions de charge USB afin de voler des données ou d’implanter des logiciels malveillants dans les appareils connectés.

C’est une erreur de croire que l’on n’est pas la cible des cyberattaquants, car ils ne s’en prennent pas seulement aux grandes entreprises ou aux personnalités, mais cherchent à saisir toutes les occasions, partout et avec n’importe qui. La preuve en est qu’ils commettent des actes de Juice Jacking dans les espaces publics équipés de ces chargeurs USB.

Aujourd’hui, les chargeurs avec connexion USB sont partout, des aéroports aux passages souterrains en passant par les centres commerciaux. Ils sont si populaires que les consommateurs les utilisent pour recharger facilement leurs gadgets, sans savoir qu’ils permettent à un voleur d’accéder à leur appareil.

Comment cela fonctionne

La majorité des ports USB sont en effet conformes à des normes qui permettent la transmission de fichiers et la recharge parallèle, comme l’USB 3.0 ou l’USB-C, plus récent. En d’autres termes, des photos, des documents et des films peuvent être transmis pendant que le gadget se recharge.

ESET, une organisation de cybersécurité, note que si les normes actuelles permettent un chargement plus rapide, elles permettent également un transfert de contenu plus rapide. Cela peut être avantageux pour sauvegarder des fichiers sur un ordinateur tout en chargeant la batterie d’un téléphone mobile, mais cela peut aussi permettre le transfert d’informations inappropriées.

Que signifie le terme « Juice Jacking » ?

Selon ESET, les fraudeurs utilisent cet élément de transit de données à la fois pour le vol et l’injection de fichiers, en utilisant une technique inventée par l’écrivain Brian Krebs sous le nom de « Juice Jacking », qui consiste à manipuler délibérément la source de charge qui fournit le « jus » ou l’énergie.

Le vol de fichiers est aussi simple que de concevoir un appareil ou un ordinateur malveillant qui se connecte à l’entrée de la clé USB. Ainsi, en reliant le gadget à un téléphone portable, les attaquants peuvent s’immiscer dans la vie privée et envoyer des données sensibles, telles que des textes ou des images, par le biais de la connexion sans protection supplémentaire.

Cependant, un criminel peut mener des attaques plus compliquées, comme la livraison de fichiers sur l’appareil de l’utilisateur. En outre, les attaquants peuvent programmer le transfert d’un fichier malveillant via un appareil en détectant la connexion d’un appareil qui prend en charge cette activité par défaut ou par autorisation de l’utilisateur.

Ainsi, les risques associés au fait de se laisser prendre à cette agression sont identiques à ceux associés au téléchargement d’un fichier malveillant par courriel ou sur un site Web : le fichier peut inclure un logiciel espion, un cheval de Troie ou le plus grave des ransomwares.

Bien que ce vecteur de vulnérabilité n’ait pas été exploité de manière significative, les risques sont bien connus : les experts en sécurité ont fréquemment mis en évidence leurs dangers, et les organismes d’application de la loi tels que le FBI ont mis en garde l’année dernière contre les dangers de charger l’appareil dans des ports USB publics.

Pour parer à ces agressions, les experts en cybersécurité recommandent d’investir dans une batterie portable et d’éviter les stations de charge publiques jusqu’à ce qu’elles soient absolument indispensables. Si tel est le cas, assurez-vous que le chargeur USB n’est pas capable d’extraire ou de faire tomber des données.