«Ça ne vaut pas le coup de stresser les gens avec ça.» | Mike Winkler via Unsplash
«Ça ne vaut pas le coup de stresser les gens avec ça.» | Mike Winkler via Unsplash

N'ayez pas peur du «juice jacking», ce piratage par port USB de votre téléphone

Vous pouvez reprendre une activité normale et recharger votre smartphone n'importe où.

On a récemment vu fleurir une kyrielle d'articles mettant en garde contre une nouvelle forme de piratage, le «juice jacking»: des logiciels malveillants seraient installés sur nos téléphones lorsque nous les branchons aux ports USB disponibles dans les lieux publics pour nous permettre de les recharger. La psychose a rapidement pris de l'ampleur: fallait-il arrêter d'utiliser les bornes de recharge mises à disposition dans les hôtels et les gares?

En réalité, cela fait une dizaine d'années que la menace du juice jacking est régulièrement brandie, explique Ars Technica, qui nous invite à ne pas paniquer. Loin de prendre de l'ampleur, la pratique serait en fait «la comète de Halley des cyberattaques». On est donc loin du phénomène à croissance exponentielle décrit par de nombreux médias.

Abonnez-vous gratuitement à la newsletter quotidienne de korii. et ne ratez aucun article.

Je m'abonne

Et pour cause: les smartphones modernes interdisent généralement le transfert de fichiers si celui-ci n'a pas été explicitement autorisé par le propriétaire de l'appareil. À supposer qu'un malware soit réellement envoyé vers un téléphone à travers son câble de charge, un message d'avertissement s'afficherait alors sur l'écran, et le téléchargement du logiciel malveillant serait bloqué.

Zéro

À ce jour, affirme Ars Technica, aucun exemple de juice jacking s'étant produit dans un lieu public n'a été rendu officiel –probablement parce qu'aucun ne s'est produit. Autrement dit, il s'agit d'un spectre brandi au nom de la prévention, mais aussi, sans doute, du sensationnalisme. Si cette forme de piratage existe, elle n'est en fait pas utilisée contre monsieur ou madame Tout-le-monde –en tout cas, pas pour le moment. En revanche, elle a déjà été employée et le sera encore dans le domaine de l'espionnage ou de l'extorsion à grande échelle.

Spécialiste des outils de piratage, Mike Grover confirme qu'il est raisonnable de garder la tête froide: «Si personne ne peut citer le moindre exemple constaté dans l'espace public, alors vraiment, ça ne vaut pas le coup de stresser les gens avec ça.» En réalité, les personnes risquant d'être touchées par le juice jacking sont peu nombreuses, et elles sont censées bénéficier de solutions leur permettant de ne pas se faire pirater aussi facilement que cela. «Heureusement, elles ont de meilleures défenses qu'un simple message d'avertissement», confirme l'expert.

En résumé, conclut Mike Grover, «concernant les bornes publiques de recharge, le plus grand risque est que la puissance soit faible et la connectique endommagée». L'installation d'un logiciel espion sur votre smartphone pendant que vous le rechargez n'est visiblement pas à l'ordre du jour, et vous pouvez donc le brancher l'esprit tranquille –sauf, peut-être, s'il contient des fichiers classés secret-défense.

Pas demain la veille

Il ne faut évidemment jamais dire jamais, d'autant que les pirates ont souvent plusieurs longueurs d'avance sur les personnes chargées de lutter contre les différentes formes de hacking. Mais pour le moment, il semble encore difficile d'imaginer que le juice jacking puisse être pratiqué à grande ampleur. À l'heure actuelle, il existe des solutions légales permettant d'extraire les données d'un iPhone ou d'un Android totalement verrouillés, comme le logiciel GrayKey de la société GrayShift, mais cela prend entre deux heures et trois jours.

En outre, ces logiciels de décryptage et d'extraction sont pour le moins onéreux (30.000 dollars dans le cas de GrayKey, soit 27.000 euros), ce qui les rend assez inaccessibles à des pirates lambda. D'autres alternatives permettant de pratiquer le juice jacking existent, mais elles restent très limitées, notamment parce qu'un script différent serait nécessaire pour chaque modèle de téléphone à pirater. Ce n'est donc pas demain la veille qu'existera une borne de recharge universelle permettant de hacker n'importe quel appareil.

Il n'est donc pas considéré comme particulièrement imprudent de brancher son téléphone dans un lieu public, estime Ars Technica. Et il est même déplorable que certaines institutions brandissent la menace du juice jacking en éclipsant du même coup les vrais problèmes de sécurité, des mots de passe trop faibles aux mises à jour de sécurité non effectuées.

En ce moment

Comment le Groupe Wagner cherche à recruter sur les réseaux sociaux

Et Cætera

Comment le Groupe Wagner cherche à recruter sur les réseaux sociaux

En français, en espagnol, ou encore en vietnamien, la milice veut ratisser large.

SafetyWing, la start-up dans laquelle tout le monde gagne le même salaire

Biz

SafetyWing, la start-up dans laquelle tout le monde gagne le même salaire

Qui que vous soyez, où que vous viviez.

Pour garder le contrôle d'un drone, une IA pourrait «tuer» son opérateur

Tech

Pour garder le contrôle d'un drone, une IA pourrait «tuer» son opérateur

Pas très rassurant.