Juice jacking
Le juice jacking est un type de cyberattaque visant un téléphone intelligent, une tablette ou un autre périphérique informatique utilisant un port de rechargement (pour recharger sa batterie) qui sert également de port de transfert de données, par exemple un port USB.
Le juice jacking peut prendre deux formes :
- l'installation d'un logiciel malveillant sur le périphérique ;
- ou le vol de données du périphérique.
Résultats de recherche
modifierLe Wall of Sheep, un événement à la convention hacker DEF CON, gère un kiosque informatif sur le juice jacking chaque année depuis 2011. Le kiosque cherche à sensibiliser le visiteur au danger de brancher ses appareils dans des prises de chargement publiques. Le premier kiosque offrait une prise de chargement sous un écran affichant cell phone charging kiosk (kiosque de chargement de téléphones cellulaires). Lorsqu'un visiteur y branchait son téléphone, l'écran tournait au rouge et affichait le message you should not trust public kiosks with your smart phone (vous ne devriez pas faire confiance aux kiosques publics pour vos téléphones intelligents)[1].
L'un des chercheurs qui ont conçu le kiosque a fait des présentations sur les actes beaucoup plus malveillants qui pourraient être commis via le kiosque, tels que le vol de données, le suivi des appareils. Il a de plus fourni des informations sur la façon de compromettre des kiosques de chargement[2].
Le chercheur en sécurité Kyle Osborn a publié un cadre d'attaque appelé P2P-ADB en 2012. Ce cadre d'attaque utilise un câble USB On-The-Go pour connecter le téléphone d'un attaquant au périphérique de la victime. Ce cadre comprend des exemples et des preuves de concept qui permettraient aux pirates de débloquer des téléphones verrouillés, de voler des données d'un téléphone, y compris des clés d'authentification permettant à l'attaquant d'accéder au compte Google du propriétaire de l'appareil ciblé[3].
Des diplômés et des étudiants en sécurité informatique de l'Institut de technologie de Géorgie (Georgia Tech) ont publié une preuve de concept d'un outil malveillant appelé Mactans utilisant le port de chargement USB d'un appareil mobile Apple lors de la Conférence Black Hat américaine de 2013. Ils ont utilisé des composants matériels peu coûteux pour construire un chargeur mural malveillant de petite taille qui peut injecter un logiciel malveillant dans un iPhone muni de la version la plus à jour d'iOS alors qu'il était en train d'être chargé. Le logiciel malveillant trompe toutes les mesures de sécurité intégrées à iOS et se masque de la même manière qu'Apple masque les processus d'arrière-plan dans iOS[4].
Les chercheurs en sécurité Karsten Nohl et Jakob Lell de srlabs ont publié leurs recherches sur l'attaque BadUSB (en) lors de la Conférence Black Hat américaine de 2014[5],[6]. Leur présentation sur cette attaque mentionne qu'un téléphone intelligent ou une tablette en charge sur un ordinateur infecté sont l'une des méthodes les plus simples pour propager la vulnérabilité BadUSB. Ils ont présenté un exemple de code malveillant qui peut infecter les appareils Android avec BadUSB[7].
Des chercheurs d'Aries Security et du Wall of Sheep ont traité du concept de juice jacking en 2016. Ils ont mis en place une borne de recharge Video Jacking capable d'enregistrer l'écran miroir des téléphones branchés sur leur station de charge malveillante. Les appareils contaminés comprenaient des appareils Android prenant en charge les protocoles SlimPort (en) ou MHL via USB, ainsi que l'iPhone le plus récent utilisant un connecteur de câble lightning charge[8].
Des chercheurs de Symantec ont dévoilé leurs découvertes sur une attaque qu'ils ont baptisée Trustjacking durant la RSA Conference de 2018[9]. Les chercheurs ont identifié que lorsqu'un utilisateur approuve l'accès d'un ordinateur à un appareil iOS via USB, ce niveau d'accès est également appliqué à l'API iTunes des appareils qui est accessible via le wifi. Cela permet aux attaquants d'accéder à un appareil iOS même après que l'utilisateur a débranché son appareil d'une source de charge USB malveillante ou infectée.
Histoire
modifierBrian Krebs a été le premier à signaler ce type d'attaque et il a inventé le terme juice jacking. Après avoir vu le kiosque d'information sur ce sujet au Wall of Sheep de la convention hacker DEF CON en , il a écrit le premier article sur son site de sécurité informatique Krebs on Security[10]. Les chercheurs du Wall of Sheep - dont Brian Markus, Joseph Mlodzianowski et Robert Rowley - ont conçu le kiosque comme un outil d'information pour sensibiliser à ce type d'attaque, ils ont mentionné, mais n'ont pas publié des outils permettant de faire des actions malveillantes de type juice jacking[2].
À la fin de 2012, la NSA a publié un document informant les employés gouvernementaux des dangers du juice jacking. Le document leur demandait aussi d'utiliser uniquement leur appareil personnel de recharge et de ne pas utiliser les kiosques de recharge publics, ni de recharger leurs appareils sur l'ordinateur d'une autre personne[11].
Le Android Hackers Handbook publié en contient des sections consacrées au juice jacking et au cadre d'attaque ADB-P2P[12].
Le juice jacking était le point central d'un épisode de la une série télévisée américaine de criminalistique Les Experts : Cyber (voir l'épisode 9 (Données volées) diffusé en 2015[13].
Améliorations à iOS et à Android
modifierApple a pris plusieurs mesures de sécurité pour réduire la vulnérabilité d'iOS aux attaques sur port USB. Entre autres, iOS ne permet plus au périphérique de se monter automatiquement en tant que disque dur lorsqu'il est branché sur un port USB. D'autres correctifs de sécurité bloquent des vulnérabilités telles que celles exploitées par Mactans[4].
Les appareils Android demandent maintenant la permission à l'utilisateur avant de permettre à l'appareil d'être monté en tant que disque dur lorsqu'il est branché sur un port USB. Aussi, depuis la version 4.2.2, Android a mis en place une étape de vérification de liste blanche pour empêcher les pirates d'accéder au Android Debug Bridge sans autorisation[14].
Protection contre le juice jacking
modifierMalgré les améliorations à iOS et à Android, le canal de données demeure un danger lors de la recharge d'un appareil sur un port USB.
La meilleure façon de se protéger du juice jacking demeure de recharger son appareil avec l'adaptateur secteur livré avec le périphérique ou avec une batterie de secours.
Lorsqu'un adaptateur secteur ou une batterie de secours ne sont pas disponibles, l'utilisateur peut se protéger au moyen de l'une des méthodes suivantes :
- Utilisation de câbles USB permettant uniquement la recharge. Ces câbles contiennent uniquement les fils d'alimentation électrique d'un câble USB standard, mais pas les fils de données. Ils sont efficaces à 100 % contre les attaques de type juice jacking. Ces câbles sont disponibles en version USB 2.0/3.0, iPhone] Lightning et USB-C. L'inconvénient : lorsque vous avez besoin de transférer des données, vous devez transporter également un câble standard[15].
- Utilisation d'un condom USB : c'est un petit appareil qui se branche entre le câble USB standard et l'ordinateur et qui bloque les lignes de données.
- Utilisation d'un câble USB avec un commutateur de données. Par défaut, ce câble laisse passer le courant électrique, mais bloque les données. Cependant, il est muni d'un bouton (un commutateur marche/arrêt de protection de transfert de données) qui doit être pressé pour permettre le transfert de données. Une DEL indique le mode de fonctionnement du câble. Ce type de câble est plus sécuritaire qu'un câble standard et il est plus pratique à utiliser que les deux options précédentes. Le câble est plus sécuritaire parce que, si les valeurs par défaut d'un dispositif sont les plus sécuritaires, les utilisateurs sont plus susceptibles d'agir de façon sécuritaire. Le câble est aussi disponible en Micro USB[15].
Références
modifier- (en) Juice Jacking (lire en ligne)
- (en) Robert Rowley, Juice Jacking 101 (lire en ligne)
- (en) Kyle Osborn, P2P-ADB (lire en ligne)
- (en) BlackHat Briefings 2013 Mactans (lire en ligne)
- (en) BadUSB : On Accessories That Turn Evil (lire en ligne)
- (en) Karsten Nohl et Jakob Lell, BadUSB Presentation at Blackhat USA 2014 (lire en ligne)
- (en) Turning USB peripherals into BadUSB (lire en ligne)
- (en) Road Warriors : Beware of 'Video Jacking' (lire en ligne)
- (en) Roy Iarchy, IOS Trustjacking (lire en ligne)
- (en) Beware of Juice Jacking? (lire en ligne)
- (en) How American Spies Use iPhones and iPads (lire en ligne)
- (en) Joshua Drake, Zach Lanier, Collin Mulliner, Pau Fora, Stephen Ridley et Georg Wicherski, Android Hacker's Handbook, Wiley, , 576 p. (ISBN 978-1-118-60864-7, lire en ligne), p. 576
- (en) CSI : Cyber L0M1S (lire en ligne)
- (en) New Android 4.2.2 Feature USB Debug Whitelist (lire en ligne)
- Article intitulé USB cables should be "charge-only" by default sur le site everythingsysadmin.com