«Le câble USB le plus dangereux au monde vient de devenir plus puissant», lance la nouvelle publicité – un avertissement sérieux pour quiconque emprunte un câble iPhone ou iPad. Si vous branchez un câble comme celui-ci sur votre appareil, vous ne saurez pas que vous avez été attaqué avant qu’il ne soit trop tard.
Selon le site de test de stylo Hak5, « vous aviez besoin d’un budget d’un million de dollars pour obtenir un câble comme celui-ci. » Maintenant, vous n’avez besoin que de 139,99 $ et d’un compte PayPal. Découvrez le câble O.MG Lightning, une réplique suffisamment parfaite de l’original Apple pour que vous ne connaissiez pas la différence. Mais celui-ci est bien plus high-tech que l’original.
Câbles d’attaque O.MG premier venu à la proéminence au DEFCON en 2019. À l’époque, le jus de fruits faisait la une des journaux. Vous vous souviendrez de l’hystérie. N’utilisez pas de bornes de recharge publiques de peur de perdre toutes vos données. L’idée étant que la prise USB utile dans laquelle vous avez branché votre câble était secrètement connectée à un ordinateur caché.
« Une charge gratuite pourrait finir par vider votre compte bancaire », a averti le bureau de LA DA. Malgré l’hystérie, c’est un bon conseil. Vous ne devriez vraiment pas brancher votre téléphone déverrouillé dans une prise USB aléatoire. Si vous devez charger en public, utilisez un chargeur réel. De préférence l’un des vôtres. Les câbles USB sont conçus pour les données, rappelez-vous.
Les câbles O.MG sont une tournure très différente sur le thème. Peu importe à quoi vous branchez le câble, car le câble lui-même est le dispositif d’attaque. Un point d’accès WiFi indépendant, un stockage de charge utile, une capacité de géorepérage, la capacité d’enregistrer les frappes ou d’injecter les siennes – il peut être commandé à la volée.
Chaque câble peut être contrôlé par un navigateur – vous pouvez vous connecter directement au point d’accès du câble ou faire connecter le câble à un réseau pour trouver son propre chemin jusqu’à vous.
Les câbles n’ont pas été conçus pour attaquer les iPhones, mais les Mac et autres ordinateurs auxquels ils sont branchés pour une charge ou une synchronisation. À l’origine, chacun était fabriqué à la main par l’inventeur Mike Grover et assez facile à distinguer des originaux. «À l’époque,» me dit Grover, «je voulais juste voir si je pouvais le faire – réduire quelque chose d’assez petit.
Regardez mon entretien avec Mike Grover dans la vidéo en haut de cette histoire.
Mais ensuite, le design a été perfectionné et ils sont devenus des répliques directes, et maintenant les originaux USB-A ont été remplacés par une mise à jour USB-C. Ainsi, les iPad Pro et de nombreux smartphones Android sont menacés. Peut-être que nous ne voulons pas d’un iPhone USB-C après tout.
Grover a choisi le câble Lightning pour faire des compromis car il était le plus dur – petit, bien contenu, magnifiquement construit. Il n’a pas pour mission de fournir des hackers offensifs – ce ne sont pas ses câbles dont vous devez vous inquiéter. Son intention est que cela serve d’avertissement. S’il peut le faire, d’autres le peuvent aussi. Et vous ne saurez pas pour ces autres.
Cela devrait être l’affaire des laboratoires gouvernementaux ténébreux et des budgets hallucinants. Et cela a été le cas pendant de nombreuses années. Ce type d’appareil est un outil offensif apprécié des agences Intel. Ainsi, l’une des missions de Grover est de travailler avec les entreprises pour éduquer leur personnel, en organisant des exercices d’équipe rouge où les employés sont compromis pour apprendre une dure leçon sur la façon dont ils doivent renforcer leur sécurité lorsqu’ils voyagent.
Le passage à l’USB-C n’est pas le seul changement. Le stockage de la charge utile est plus important, ce qui ouvre la possibilité d’attaques directes de logiciels malveillants. Et il existe de nouveaux «modes d’attaque». Les câbles peuvent s’armer automatiquement lorsqu’ils sont sur la cible et s’autodétruire lorsque leur emplacement change. Il y a un cycle d’attaque, capturant les frappes de l’utilisateur, puis injectant le sien. Cela permet à un appareil de collecter des informations lorsqu’un utilisateur se trouve sur son appareil, de l’attaquer lorsqu’il ne l’est pas.
Et bien que ce ne soit pas une menace à grande échelle, il ne s’agit plus non plus d’opérations de renseignement haut de gamme. Pensez au vol de crédits d’entreprise comme à la recrudescence des ransomwares, des attaques contre les infrastructures critiques et des compromissions de la chaîne d’approvisionnement. Dans un monde où les cyberattaques criminelles rapportent des centaines de millions de dollars, pensez où une partie de cet argent pourrait être investie et ce que pourraient devenir ces investissements.
En réalité, ce n’est pas vraiment le câble le plus dangereux au monde. Grover a délibérément empêché les câbles en «mode d’attaque mobile» de charger ou de synchroniser les téléphones, «vous avez donc une capacité limitée à en abuser sans que la cible le sache», explique-t-il. Ce câble est conçu pour les démos et la formation, pour les équipes rouges et les tests de stylet.
Grover me dit que de nombreuses entreprises qu’il fournit lui disent que le câble est l’un de leurs outils les plus puissants pour enseigner aux employés une leçon du monde réel sur la façon dont ils peuvent être compromis. « Attendez! » il imite, « le câble attaque quoi? »
En réalité, les câbles dont vous devez vous soucier ne sont pas ceux vendus en ligne. « Ce n’est pas le genre de menace que la personne moyenne va rencontrer », dit Grover. Il ne finira pas par être planté dans les magasins de détail, «bien que ce soit tout à fait possible, mais cela n’a aucun sens car il existe des voies plus faciles pour s’en prendre à quelqu’un. Ce que c’est, cependant, est une preuve tangible de ce qui peut être fait et de la facilité avec laquelle cela peut être fait.
Si vous voyagez pour le travail, si vous travaillez dans un service gouvernemental ou dans un secteur de grande valeur, si vous êtes une célébrité ou un avocat ou journaliste ciblé par le gouvernement, cette publicité devrait envoyer un message clair: n’utilisez pas de câbles si vous ne le faites pas. Je ne sais pas d’où ils viennent.
.
