Après le car-jacking (piraterie routière) et le home-jacking (piraterie à domicile), voici qu'apparaît le juice-jacking. Encore peu développée en Europe, cette pratique frauduleuse risque cependant de prendre prochainement de l'importance dans nos contrées. Définition et illustration.
Définition du Juice-Jacking
Moins violent que les autres bidules-jacking, le juice-jacking ne consiste pas à voler des biens matériels sous la menace physique (voiture, argent, bijoux, etc.), mais à subtiliser en douceur des informations personnelles, dans le but d'en retirer un avantage pécuniaire ou d'usurper une identité. Il y a de nombreuses manières de pirater des données personnelles, mais elles sont souvent détournées : cracking Wi-Fi, logiciels malveillants, piratage de comptes Internet (mail, réseaux sociaux, sites commerciaux), etc. Le juice-jacking, lui, est un procédé qui se connecte directement (physiquement) à un appareil mobile : smartphone, PDA, tablette…
Concrètement, le juice-jacking utilise le courant électrique ("juice"). Cela prend souvent la forme de bornes publiques de recharge de batteries, que l'on peut trouver dans les lieux de transit, comme par exemple les aéroports, les gares, les restaurants, etc. Beaucoup plus répandus outre-Atlantique qu'en Europe, ces dispositifs devraient cependant se développer chez nous dans les prochaines années, avec le boum des appareils mobiles. Prudence donc.
Illustration
Vous êtes de sortie, et la batterie de votre compagnon mobile (téléphone, smartphone, PDA, tablette, etc.) rend son dernier souffle. Bien évidemment, c'est à ce moment précis que vous avez besoin de passer un coup de fil urgent ou autre. Vous êtes dans un hôtel, un aéroport ou un centre commercial, mais vous n'avez pas votre chargeur. Par miracle, vous trouvez un kiosque de chargement gratuit, pouvant alimenter par USB votre appareil. Que faites-vous ? Pensez-vous un seul instant que ce kiosque est capable de lire et de récupérer toutes vos données, ou même d'installer un malware sur votre appareil ? Probablement pas.
C'est en tout cas le constat d'une enquête menée par le journaliste américain Brian Krebs, spécialisé en sécurité informatique. Les personnes qu'il a questionnées utilisent couramment ces kiosques et sont des professionnels de la sécurité. La plupart pourtant ne se méfie pas de ce genre d'appareil !
Une expérience de juice-jacking a d'ailleurs été menée au dernier DefCon, un important congrès du monde du hacking qui se tient tous les ans à Las Vegas. Le collectif qui a réalisé cette expérience s'était déjà illustré lors d'une édition précédente, avec un dispositif piégé montrant les dangers de communiquer sur Internet à partir d'un réseau Wi-Fi ouvert (hotspot).
Cette année, le collectif a installé une station de recharge au milieu du salon. Bien que les visiteurs présents soient plutôt conscients des risques de hacking en tout genre, il semblerait qu'ils soient également prêts à prendre n'importe quels risques pour recharger leur mobile ! En effet, en 3 jours et demi, plus de 360 visiteurs ont utilisé le kiosque en question.
Sauf que ce kiosque était piégé ! Ou plutôt un vrai-faux kiosque pédagogique. Brian Markus (Président de Aires Security) la démarche : "Nous savons à quel point ces kiosques peuvent être dangereux. Par défaut, la plupart des smartphones sont configurés pour se connecter et déposer directement des données [...]. N'importe qui avec de mauvaises intentions pourrait mettre à l'intérieur d'un kiosque un système qui permettrait d'aspirer toutes les informations et photos, voire même d'installer un malware sur l'appareil".
Le kiosque de Markus proposait de nombreux câbles capables de recharger la plupart des appareils mobiles. Quand aucun appareil n'était connecté, le kiosque affichait ce message sur un écran LCD : "Free Cell Phone Charging Kiosk" ("Station gratuite de recharge de téléphones mobiles"). Dès qu'un appareil était connecté, un nouveau message s'affichait en rouge : "Vous ne devriez pas connecter votre smartphone à ce genre de kiosque public. Des informations peuvent être récupérées ou téléchargées sans votre consentement. Heureusement pour vous, cette station n'a qu'un but pédagogique, vos données sont intactes. Profitez de la recharge gratuite !".
Le moyen le plus sûr de recharger les batteries de son téléphone est d'utiliser le cordon électrique avec une prise murale. Si vous devez utiliser une station de recharge publique, il vaut mieux éteindre son appareil avant de le brancher.
Source : Krebsonsecurity
2 commentaires
rachel89 a dit :
22 août 2011 à 11 h 26 min (UTC 2)
Je ne suis pas d’accord avec cet article, et particulièrement sa conclusion. Le but même de ces bornes est de permettre aux personnes ne possédant pas leur chargeur de pouvoir charger leur appareil !
De plus, je ne laisserai jamais mon téléphone à recharger à la vue de tous, au risque de me le faire voler si j’ai un moment d’inattention… Je préfère le recharger dans un casier sécurisé dans une de ces bornes.
Je l’ai déjà fait à l’aéroport de Lyon, j’ai été très contente de ce service. Je doute que des lieux comme un aéroport, une gare ou un hôtel fassent affaire avec des entreprises pas sérieuses.
Animateur Panoptinet/Achiwa a dit :
22 août 2011 à 11 h 43 min (UTC 2)
Comme avec beaucoup de choses pratiques (je pense au Wi-Fi par exemple), il faut aussi être conscient qu’on donne la possibilité de transmettre des informations personnelles, sans un minimum de précautions.
Panoptinet dit juste que si on a le choix, il vaut mieux préférer son câble personnel pour recharger son smartphone. Et que si on utilise ces bornes, l’extinction de l’appareil pendant la recharge est préférable ! Juste au cas où…
Merci de votre témoignage en tout cas, et vivement la recharge par l’énergie solaire !