Le bureau du FBI à Denver met en garde les consommateurs contre l’utilisation de bornes de recharge publiques gratuites, affirmant que les mauvais acteurs peuvent utiliser les ports USB aux arrêts de jus pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils.
« Emportez votre propre chargeur et cordon USB et utilisez plutôt une prise électrique », a recommandé l’agence dans un tweet récent.
Le «juice jacking» existe depuis une décennie, même si personne ne sait à quel point cette pratique s’est répandue.
« Il y a eu beaucoup de discussions sur le fait qu’il était dans le public, mais pas beaucoup dans le public », a observé Brian Markus, PDG d’Aries Security, une société de recherche et d’éducation en sécurité à Wilmington, Del. Markus, et son collègue Robert Rowley première démonstration de juice jacking en 2012.
« Les chargeurs de jus jacking sont comme des écumoires ATM », a déclaré Markus à TechNewsWorld. « On en entend beaucoup parler mais on ne les voit pas forcément. »
Évitez d’utiliser les bornes de recharge gratuites dans les aéroports, les hôtels ou les centres commerciaux. Les acteurs malveillants ont trouvé des moyens d’utiliser les ports USB publics pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils. Emportez votre propre chargeur et cordon USB et utilisez plutôt une prise électrique. pic.twitter.com/9T62SYen9T
– FBI Denver (@FBIDenver) 6 avril 2023
Il a expliqué que quelqu’un qui veut altérer une station de recharge électrique légitime pourrait changer le câble de la station en un câble trafiqué, qui contient la puce qui peut installer un cheval de Troie d’accès à distance, ou une porte dérobée, sur un téléphone. Ensuite, le téléphone peut être attaqué à tout moment sur Internet.
« C’est particulièrement répandu avec les téléphones Android exécutant des versions plus anciennes du système d’exploitation », a déclaré Markus. « C’est pourquoi il est important que les utilisateurs maintiennent leurs appareils à jour. »
Avis divergents
Il semble y avoir des opinions contradictoires au sein de la communauté de la sécurité sur l’importance d’une menace pour les consommateurs.
« Ce n’est pas très courant en général car l’utilisation d’une installation de recharge à distance n’est pas quelque chose que les gens font très souvent », a observé Bud Broomhead, PDG de Viakoo, un développeur de solutions logicielles de cybersécurité et de sécurité physique à Mountain View, en Californie.
« Cependant, si quelqu’un utilise un système de recharge hors de son contrôle, l’avertissement émis par le FBI devrait l’amener à changer de comportement, car les cas sont en augmentation », a-t-il déclaré à TechNewsWorld.
Aviram Jenik, président d’Apona Security, une société de sécurité de code source à Roseville, en Californie, a soutenu que le juice jacking est « extrêmement courant ».
« Nous n’avons pas de chiffres car les appareils ont tendance à se trouver dans des endroits où les gens ne restent pas longtemps, il est donc facile de placer un appareil malveillant puis de le reprendre », a-t-il déclaré à TechNewsWorld.
« Cela se fait depuis des années maintenant, et l’apparition de bornes de recharge infectées par des logiciels malveillants est presque régulière », a-t-il ajouté.
« Alors que la charge devient de plus en plus sophistiquée – c’est-à-dire que les données voyagent sur les mêmes câbles qui transportent une charge – cela va empirer », a-t-il déclaré. « Lorsque la cible a une valeur plus élevée – par exemple, un véhicule électrique par rapport à un téléphone mobile – les enjeux seront plus élevés. »
Jenik a ajouté qu’un autre développement futur serait la recharge sans fil, qui permettrait aux attaquants d’effectuer une attaque sans que personne ne voie l’appareil physique utilisé pour la violation.
Problème de communication bidirectionnelle
Le juice jacking est probablement plus susceptible de se produire dans des zones fréquentées par des personnes d’intérêt – des politiciens ou des employés d’agences de renseignement, a affirmé Andrew Barratt, directeur général des solutions et des enquêtes chez Coalfire, un fournisseur de services de conseil en cybersécurité basé à Westminster, dans le Colorado.
« Pour qu’une attaque de juice jacking soit efficace, elle devrait fournir une charge utile très sophistiquée capable de contourner les mesures de sécurité téléphoniques courantes », a-t-il déclaré à TechNewsWorld.
« Franchement », a-t-il poursuivi, « je serais plus inquiet que les prises soient si fortement utilisées qu’elles endommagent mon cordon ou la prise du téléphone. »
Le juice jacking exploite la technologie USB à des fins malveillantes. « Le problème est que les ports USB permettent une communication bidirectionnelle, non seulement pour le chargement de l’alimentation, mais également pour la transmission de données. C’est ainsi que votre périphérique USB peut envoyer des images et d’autres données lorsque vous le branchez », a expliqué Roger Grimes, un évangéliste de la défense chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.
« Le port USB n’a jamais été conçu pour empêcher l’envoi de commandes malveillantes avancées sur le canal de données », a-t-il déclaré à TechNewsWorld. « Il y a eu de nombreuses améliorations de la sécurité du port USB au fil des ans, mais il existe encore d’autres voies d’attaque, et la plupart des appareils compatibles USB permettent au port de charge de se déclarer une ancienne version de la norme de port USB, donc certains des les nouvelles fonctionnalités de protection ne sont plus disponibles.
Les véhicules électriques seront-ils les prochains ?
JT Keating, vice-président senior des initiatives stratégiques chez Zimperium, un fournisseur de solutions de sécurité mobile à Dallas, a averti les consommateurs de se méfier des solutions gratuites se présentant comme des services « publics ».
« Lorsque les pirates incitent les gens à utiliser leurs faux réseaux Wi-Fi et leurs fausses centrales électriques, ils peuvent compromettre les appareils, installer des logiciels malveillants et des logiciels espions et voler des données », a-t-il déclaré à TechNewsWorld.
« Cette tendance se poursuivra et évoluera à mesure que de plus en plus de personnes se connecteront aux bornes de recharge pour leurs véhicules électriques », a-t-il poursuivi. « En compromettant une borne de recharge pour VE, les attaquants peuvent causer des ravages en volant des informations de paiement ou en créant une variante de ransomware en désactivant les bornes et en empêchant la recharge. »
Barratt de Coalfire a noté que les bornes de recharge pour véhicules électriques sont une préoccupation depuis un certain temps, mais les problèmes ont été de voler des charges ou d’obtenir une utilisation gratuite des bornes.
« À plus long terme », a-t-il déclaré, « je soupçonne que nous continuerons à voir davantage d’attaques contre ces chargeurs alors que le monde passe aux chargeurs de véhicules électriques. »
« Quand nous avions des téléphones publics, il y avait des attaques contre eux », a-t-il poursuivi. «Il y a régulièrement des attaques contre les distributeurs automatiques de billets et les pompes à essence. Tout ce dont la valeur est indispensable dans un environnement sans surveillance, il existe un potentiel de gain pour un voleur cybernétique à exploiter.
Évitez de devenir une victime de Juice Jacking
Depuis que Markus et Rowley ont initié le monde au juice jacking, les conditions se sont améliorées pour les attaquants. La connectivité sans fil a été ajoutée aux ports de charge, par exemple.
« Lorsque nous avons fait cela pour la première fois, nous avions un ordinateur portable entier caché dans la station de charge, et il faisait beaucoup de travail », a noté Markus. « La quantité de puissance de calcul pour faire la même chose maintenant est nettement inférieure. »
Le FBI n’est pas la seule agence de l’alphabet à tirer la sonnette d’alarme sur le juice jacking. La FCC, dans le passé, a également mis en garde les consommateurs contre cette pratique. Pour éviter d’être victime des juice jackers, il recommande :
- Évitez d’utiliser une station de charge USB. Utilisez plutôt une prise secteur.
- Lorsque vous voyagez, apportez votre propre AC, chargeurs de voiture et câbles USB.
- Emportez un chargeur portable ou une batterie externe.
- Envisagez de transporter un câble de charge uniquement, qui empêche l’envoi ou la réception de données pendant la charge, d’un fournisseur de confiance.