Nous l’avons sans aucun doute tous vécu un jour ; notre smartphone ou tablette est presque sur le point de s’éteindre, nous laissant sans moyen de communication. Croyant que nous avons pris notre câble avec nous, nous nous apercevons aussitôt que nous l’avons oublié. Mais alors, devons-nous demander à la personne assise à nos côtés de nous emprunter le sien ?
La réponse est probablement non. D’après les experts en cybersécurité, ce serait une très grave erreur, sachant que l’on est en 2019. « Il y a des choses que nous n’empruntons tout simplement pas dans la vie » déclare Charles Henderson, Directeur associé et responsable de X-Force Red chez IBM Security.
« Si vous étiez en voyage et réalisiez que vous aviez oublié d’emporter vos sous-vêtements, vous ne pourriez pas demander à vos compagnons si vous pouviez emprunter les leurs. Vous irez en acheter de nouveaux dans un magasin ». Henderson est un vétéran de la cybersécurité, qui s’est déjà introduit dans pas mal de systèmes informatiques dans le but d’exposer la vulnérabilité de ses clients.
Les cyberhackers ayant compris comment installer des câbles USB avec des logiciels malveillants capables de détourner à distance des appareils et des ordinateurs, son équipe a parfois recours à une astuce pour apprendre aux clients à moins faire confiance aux câbles tiers.
« Nous pourrions envoyer à quelqu’un un câble swag iPhone par courrier. Peut-être l’avons-nous étiqueté comme étant quelque chose d’inoffensif. Nous voyons si la personne le branche », dit-il.
Très récemment (2019), lors de la conférence annuelle DEF CON Hacking prenant lieu à Las Vegas, un hacker dont le pseudonyme est MG, a présenté un câble d’éclairage pour iPhone qu’il avait modifié.
Après avoir utilisé ce dernier pour connecter un iPod à un ordinateur Mac, MG a accédé à distance à l’adresse IP du câble et a pris le contrôle du Mac. Il a indiqué qu’il pourrait plus tard « éliminer » le logiciel malveillant implanté et effacer toute preuve de son existence.
Le pirate informatique avait une réserve de câbles de la marque O.MG, inventée par lui, qu’il vendait à 180 euro la pièce.
Selon Henderson, les câbles USB malveillants ne sont pas une menace généralisée à l’heure actuelle, « essentiellement parce que ce type d’attaque ne fonctionne pas très bien, donc si vous le voyiez, il serait question d’une attaque très ciblée. »
« Mais le fait que nous n’ayons pas encore vu d’attaque généralisée ne signifie pas que nous ne la verrons pas, car cela fonctionne certainement », a-t-il ajouté.
« La technologie est vraiment petite et pas très coûteuse. D’ailleurs, elle peut être si petite qu’elle ressemblerait à un câble ordinaire. Un câble qui a la capacité et l’intelligence de planter un logiciel malveillant sur sa cible. En plus, la production de ces produits ne fera que devenir moins chère ».
Les stations de charge USB que vous voyez dans les lieux publics, tels que les les bibliothèques ou les aéroports, représentent une plus grande menace que les câbles malveillants.
« Il y a eu des cas où des stations entières ont été modifiées. On ne parle pas de prise électrique, mais bien des ports USB qui sont là pour charger vos appareils ».
« Méfiez-vous de ce que vous branchez sur ces derniers, c’est tout simplement une bonne hygiène technologique. Dans un contexte informatique, partager des câbles revient à partager votre mot de passe ».
La réception des hôtels détiendra sans doute une panoplie de câbles oubliés par les clients, se diront beaucoup de personnes, mais « ne soyez pas tenté », dit Henderson. « Si la réception avait un tiroir plein de sous-vêtements, les prendriez-vous ? » Conclut-il.