Une nouvelle faille de sécurité concernant les ports USB met en lumière des risques potentiels pour les utilisateurs de smartphones. Des chercheurs ont démontré qu’il est possible d’accéder à des données sensibles via des stations de charge malveillantes, soulevant des inquiétudes quant à la sécurité des appareils.
Des chercheurs de l’Université Technologique de Graz, en Autriche, ont révélé une grave faille de sécurité. En exploitant les hôtes USB, malgré les protections mises en place par les développeurs de logiciels pour appareils mobiles, ils ont pu mener un attaque capable de prendre le contrôle des téléphones ayant une connexion de données. Un avertissement pour les grandes entreprises technologiques, car une telle attaque pourrait compromettre les comptes bancaires, les photos, et même les mots de passe sur tous les téléphones.
Dans le rapport d’étude intitulé ChoiceJacking: Compromettre les dispositifs mobiles par des stations de charge malveillantes, il est mentionné que les attaques testées ont rencontré un franc succès. Ils ont réussi à extraire, via des câbles de charge falsifiés, des images, des documents et même des données d’applications. Huit téléphones différents ont été testés, et dans tous les cas, des informations sensibles ont été extraites. Bien qu’ils n’indiquent pas la marque et le modèle des téléphones, ils précisent que six d’entre eux représentent une part de marché importante.
Apple et Google ont mis en place des mesures, mais elles sont insuffisantes
Comme c’est souvent le cas avec ce type de rapport de sécurité, les experts ont transmis toutes les données aux principales entreprises de téléphonie, qui ont ensuite appliqué des mesures de protection pour limiter les risques sur les appareils en circulation. Cependant, bien qu’Apple ait apporté des modifications dans iOS 18.4 et que Google ait fait de même avec Android 15 lors du patch de novembre, tous les téléphones ne sont pas à l’abri.
Tous les smartphones anciens ne recevant plus de mises à jour de sécurité sont toujours exposés. La fragmentation du système d’exploitation entraîne cette situation. Par conséquent, si une personne avec un téléphone de 2022, sans mises à jour dans la plupart des cas, connecte son appareil à un chargeur à l’aéroport, elle pourrait facilement être vulnérable au Choice Jacking.
Une fois le dispositif connecté au câble, les attaquants obtiennent un double canal d’accès au téléphone, usurpant l’identité de l’utilisateur pour obtenir des permissions spécifiques et contrôler tous les fichiers. Cependant, comme montrent les études, cette méthode n’est pas la seule disponible pour les hackers. Ils disposent d’autres méthodes d’accès, notamment le protocole d’accès ouvert d’Android, où un simple message permet d’accéder à toutes les données du dispositif.
Il est vivement recommandé de ne jamais activer la débogage USB sans avoir confiance dans le port USB utilisé. Si vous devez réellement transférer des fichiers vers un ordinateur public ou d’un individu de confiance limitée, il est préférable d’utiliser le protocole de transfert d’images (PTP) ou le protocole de transfert de médias (MPTP) qui permet uniquement de lire et d’écrire les fichiers.
La sécurité revient au premier plan des préoccupations. Si l’on pensait que l’utilisation de chargeurs publics était redevenue sûre grâce à de nombreuses mesures mises en place, cela s’avère faux. Il vaut mieux emporter une batterie externe pour éviter des problèmes, car tous les smartphones ne sont pas à l’abri.
Questions sur le Choice Jacking
Que fait le Choice Jacking ?
Il accède aux téléphones via un hôte USB et vole des données, allant des photos aux documents et mots de passe.
Que puis-je faire sur mon téléphone pour éviter le Choice Jacking ?
La meilleure manière de se protéger est d’installer toutes les mises à jour de sécurité en attente et d’éviter de connecter le téléphone à des ports de chargement inconnus.
Quels sont les téléphones les moins sécurisés face à cette attaque ?
Tous les téléphones Android qui n’ont pas été mis à jour depuis décembre 2024 ou les iPhone qui ne reçoivent pas la mise à jour iOS 18.4.