Votre téléphone commence à manquer de batterie, alors vous prenez le câble de recharge de courtoisie au café pendant que vous commandez, mais ce n’est pas un câble USB ordinaire, et le propriétaire du café ne l’a pas mis là.

L’un des problèmes de l’utilisation de câbles USB pour la recharge est qu’ils transportent également des données, à l’entrée et à la sortie de votre téléphone, y compris des logiciels malveillants (à l’entrée) et des informations privées (à la sortie). Et le câble O.MG, qui ressemble à n’importe quel autre câble USB-C vers Lightning, est en fait un petit ordinateur pirate à l’intérieur d’un câble. Quelqu’un va-t-il vous cibler personnellement avec une telle chose ? Peu probable. Mais posez-vous cette question. Si vous deviez déployer un câble pour attraper le plus grand nombre de personnes, où le laisseriez-vous ?

« Les consommateurs doivent faire attention aux câbles qu’ils utilisent et aux ports sur lesquels ils se branchent, car les pirates informatiques, qu’ils soient blancs ou noirs, innovent constamment de nouvelles façons d’utiliser l’USB. Et, même si un câble USB n’est pas malveillant, de nombreux câbles ne respectent pas les normes comme l’USB-C et peuvent causer d’autres problèmes électriques ou mécaniques », a déclaré Sean O’Brien, maître de conférences en cybersécurité à la Yale Law School, par courriel.

O.MG

Le câble O.MG est la dernière version d’un outil de piratage du hacker MG (Mike Grover), présenté lors de la conférence de piratage Def Con. Il ressemble à n’importe quel autre câble, mais il abrite un minuscule point d’accès Wi-Fi, qui permet à un pirate d’accéder à votre ordinateur. Il peut également se connecter et se déconnecter sur Internet, et pas seulement à un pirate voisin dont l’ordinateur portable est ouvert.

Le câble peut faire à peu près tout ce que vous voulez éviter. Il peut enregistrer toutes vos frappes au clavier, et il peut également se faire passer pour un clavier USB et taper ses propres commandes dans votre machine. Cela signifie qu’il peut faire à peu près tout ce que vous pourriez faire via le clavier, notamment télécharger des logiciels malveillants, installer des logiciels espions, etc.

Et comme il dispose de son propre point d’accès Wi-Fi, il peut exfiltrer toutes vos données directement. Cela permet de contourner toute sécurité liée à Internet, car il n’utilise pas Internet. Le câble O.MG de Grover fait peut-être la une des journaux, mais c’est aussi un avertissement sur les dispositifs USB en général. Si vous branchez un objet sur votre ordinateur ou votre téléphone, il a un niveau d’accès effrayant.

« Les câbles USB sont des voies directes pour les attaques de logiciels malveillants et de ransomware : N’importe quelle personne mal intentionnée peut accéder aux informations confidentielles de nombreux appareils d’utilisateurs peu méfiants en laissant simplement leur clé USB allumée. Le fait de le brancher sur votre téléphone vous rend instantanément vulnérable », a déclaré par courriel Yusuf Yeganeh, fondateur de Microbyte Solutions et consultant en informatique et cybersécurité.

Portez une protection

Vous ne serez probablement jamais la cible d’un O.MG. Pour commencer, la version de base coûte 120 dollars. Mais même si vous l’étiez, il existe un moyen sûr à 100 % d’éviter ses capacités de piratage. Ne le branchez pas.

C’est plus facile à dire qu’à faire. Si quelqu’un veut vraiment vous cibler, il peut employer toutes sortes de ruses pour vous amener à faire confiance au câble, notamment en vous le vendant ou en se glissant dans votre bureau pour l’échanger contre celui qui s’y trouve.

Mais en général, le moyen d’éviter les câbles malveillants, ou tout autre dispositif USB, est d’éviter les dispositifs inconnus.

« Lorsque vous voyagez, il est préférable d’utiliser [votre propre] câble USB, de préférence un câble qui ne prend pas en charge le transfert de données. Évitez les câbles que vous voyez dans les lieux publics », déclare Yeganeh.

Les utilisateurs de Mac peuvent se réjouir de la sortie de macOS Ventura cet automne, qui bloquera les périphériques USB connectés jusqu’à ce que vous leur donniez la permission d’interagir avec votre ordinateur, bien que cela ne s’applique qu’aux ordinateurs portables Mac M1, pour commencer. Les utilisateurs de Windows doivent s’assurer que l’autorun USB est désactivé, ce qui empêche les applications sur les clés USB de se lancer lors de l’insertion.

Mais même s’il s’agit de bonnes sauvegardes, vous devez faire attention à ce que vous insérez dans les ports de votre ordinateur. Emportez toujours vos câbles, une batterie de secours ou un chargeur de confiance. Et branchez votre chargeur directement dans la prise de courant. N’utilisez pas votre propre câble USB avec une prise USB inconnue, car celle-ci peut être compromise.

Si vous ne pouvez vraiment pas éviter d’utiliser des câbles publics pour charger votre appareil, utilisez un préservatif USB. Il s’agit simplement d’un adaptateur USB dont les broches de données ont été retirées, de sorte qu’il ne peut transmettre que du courant. Il est facile de fabriquer le vôtre à partir d’un adaptateur USB-A. Mais si vous décidez d’en acheter un, assurez-vous de faire confiance au vendeur, sinon tout est perdu.