Le FBI recommande d'éviter les chargeurs publics : quels sont les risques ?

Pierre Dandumont |

Récemment, une section locale du FBI a posté un message qui a fait parler de lui : il recommande d'éviter les chargeurs publics dans les aéroports, les hôtels ou les centres commerciaux. Il tend à faire peur, en mettant en avant les menaces d'introduction de logiciels malveillants. Mais quels sont les risques réels ?

Les risques physiques

Le premier problème est purement physique : vous n'avez probablement aucune idée de ce qui se cache derrière une prise USB encastrée dans un mur, pour prendre l'image classique de ce genre de services. Le chargeur (ou le câble) peut être de mauvaise qualité (et donc endommager votre iPhone) ou tout simplement avoir été modifié pour griller intentionnellement votre appareil. Les méthodes sont multiples, mais nous pouvons en citer deux.

La première est basique : l'équivalent d'une clé USB Killer. Pour faire court, il s'agit d'un périphérique USB qui récupère de l'énergie depuis votre iPhone, la stocke quelques secondes et renvoie le tout dans la prise avec une tension très — trop — élevée et grille votre prise Lightning. Rapide, simple, propre.

Ce chargeur « USB-C » Lidl envoie 13 V sans négociations.

La seconde est liée à l'USB-C, et donc ne touche pas encore directement les iPhone. Nous vous conseillons d'aller lire notre série sur l'USB-C, mais pour résumer — encore une fois —, l'USB-C peut transmettre différentes tensions. Et si vous envoyez une tension de 12 ou 20 V dans un appareil qui attend 5 V ou 9 V, vous risquez de griller les circuits. Et il n'y a même pas besoin de modifier le chargeur : un câble configuré pour forcer une tension de 12 V ou un chargeur qui ne suit pas la norme peuvent suffire.

USB-C compliqué : notre série au complet sur le Club iGen

USB-C compliqué : notre série au complet sur le Club iGen

Les risques de piratage direct

Les risques de piratage direct sont finalement assez faibles avec un iPhone. Premièrement, les failles qui permettent d'installer un logiciel malveillant restent assez rares. Elles sont réservées à des sociétés qui possèdent de gros moyens, et il y a peu de chances de voir l'équivalent d'un boîtier Pegasus caché dans un hôtel ou dans un endroit public. Ce point ne vous dispense pas de vous méfier des chargeurs publics, mais il limite les risques.

Deuxièmement, iOS dispose de plusieurs fonctions qui permettent de vous protéger (un peu) de ce genre de périphériques. La première vient du message qui indique que l'iPhone est connecté à un ordinateur : si iOS vous affiche ce message au branchement, il y a évidemment un loup. Il faut noter que refuser l'accès active tout de même la charge, ce qui n'est pas nécessairement une bonne idée : une attaque physique peut être présente.

Si ce message s'affiche sur un chargeur, félicitations : vous avez trouvé un chargeur malveillant.

La seconde est une protection contre la connexion d'accessoires. L'option bloque la communication en USB quand l'iPhone est verrouillé depuis plus d'une heure. Dans le cas d'un chargeur public, elle n'est pas réellement utile, mais il vaut mieux la garder. Attention, l'option est « active » quand le taquet est désactivé pour Accessoires dans Réglages > Face ID et code (dans la section Autoriser l'accès en mode verrouillé).

Ce n'est pas très intuitif, mais la protection est active quand le taquet est désactivé.

Les risques liés à certains accessoires USB

Certains types d'accessoires USB n'affichent aucun message à la connexion mais peuvent tout de même poser des soucis. Un chargeur USB qui intègre un adaptateur USB vers Ethernet en interne, par exemple, peut prendre silencieusement la main sur votre connexion et enregistrer la totalité de votre trafic sans que l'OS ne tique.

La présence d'un adaptateur Ethernet reste assez discrète.

De même, un appareil qui émule un clavier ou une souris peut vous envoyer automatiquement (et rapidement) vers un menu d'iOS qui vous demande votre mot de passe, et l'enregistrer. L'ensemble n'est pas totalement invisible — nous pouvons supposer que certains réagiront si un iPhone décide de se déplacer seul dans les menus — mais peut berner un utilisateur peu averti.

Des commandes automatisées peuvent vous envoyer sur cette page.

Dans tous les cas, la recommandation postée par la section locale du FBI de Denver reste pertinente : pensez à prendre votre propre chargeur et son câble.

Source
Images d'ouverture : DanTD, CC BY-SA 4.0
Tags
#chargeur #iPhone #USB
avatar Mac13 | 

Il n'existe pas de câble usb n'utilisant que chargement d'énergie (aucun bus de données...) ?

avatar Sillage | 

@Mac13

PortaPow USB data blocker

USB-A:

PortaPow USB Data Blocker (Red 2 Pack) - Protect Against Juice Jacking https://a.co/d/0nA8jSz

USB-C:

PortaPow USB-C to C Data Blocker - Protect Against Juice Jacking https://a.co/d/cVNkh5p

Désolé, c’est Amazon US. Mais ça existe.
J’ai les deux modèles.

Édit:
Aussi disponible sur Amazon FR.
PortaPow fait aussi le power bloquer:

PortaPow Bloqueur d'alimentation USB (boîtier) https://amzn.eu/d/hDfo43S

avatar Pierre Dandumont | 
Techniquement, oui. Mais comme la détection de la puissance de charge passe par des résistances sur les lignes de données, ça pose pas mal de soucis.
avatar koko256 | 

@Mac13

Plus lourd mais enlevant tout risque : passer par une batterie externe. J'ai une Dell qui peut être rechargée pendant qu'elle alimente quelque chose (même si pour un risque 0, il vaut mieux ne pas tout brancher en même temps mais la batterie ne connecte pas l'usb d'alimentation aux autres ports usb)
Et pour ceux qui pensent "autant emmener son chargeur", je précise que certains avions n'ont que des prises usb.

avatar Sillage | 

Désactiver les accessoires si l’iPhone est verrouillé depuis plus d’une heure. Est-ce que ça peut poser un soucis pour une récupération de l’iPhone ultérieure ? Ou 0 risques et vraiment lié seulement aux accessoires ?

avatar iPop | 

Il y une solution simple a tout ça : une simple batterie rechargeable, c’est comme mettre des préservatifs puisqu’on en est là.

avatar mat16963 | 

@iPop

Il y a encore plus simple: prendre son propre adaptateur secteur, puisque généralement quand il y a des prises USB, il y a des prises de courant standard pas loin…

avatar brunnno | 

@mat16963

Pas dans les abris-bus… 🤗

avatar Paquito06 | 

En avion il n’y a souvent que de l’usb, sauf en business y a souvent prise 110/220, mais du coup… ugh 😫

avatar sergios | 

C’est rigolo, mais le message relatif à la confiance donné à l’ordinateur. Je l’ai à chaque fois que je branche mon iPad sur mon écran Studio Display …. Dois-je considérer que Apple tente de pirater mon iPad ? 😜😅

avatar fleeBubl | 

Tour ça est une évidence !

Mais on en apprend toujours quelque chose, qu’on avait même pas en tête.

avatar Adodane | 

C'est un chargeur USB sur la photo ?
Parce que c'est marqué "chargeur pour outillage ..."
Parkside c'est une marque de produits de bricolage.

avatar Pierre Dandumont | 
Plus exactement : c'est un bloc de charge pour une perceuse Parkside (la marque outillage de Lidl) qui possède une prise USB-C. Mais du coup, y a juste la prise physiquement USB-C, ça envoie 13 V sans négociations (donc c'est pas ouf)
avatar Tetaroide Bleu | 

J’ai une lampe de bureau qui possède un port USB. Une fois sur deux l’iPhone m’ affiche le fameux message… Dans ces cas là. je débranche et je rebranche, le message n’apparaît plus, mais du coup je n’ai jamais trouvé cette information très fiable. Il y a quelques années j’avais acheté sur Kickstarter un gadget pour faire l’intermédiaire entre un chargeur USB et le téléphone. Finalement je ne l’ai jamais utilisé !

CONNEXION UTILISATEUR