USB
Vos photos et autres données peuvent-elles être téléchargées ou effacées de votre smartphone pendant qu’il est en train de se recharger à partir d’un port de charge public, c’est-à-dire dans les transports publics, dans un hôpital, à l’aéroport, etc. ? Malgré les mesures de sécurité prises par les fabricants, c’est parfois possible.
C’est en 2011 que les pirates informatiques ont imaginé ce type d’attaque : si un port de charge USB à l’apparence innocente ne se contente pas de fournir de l’électricité mais contient un ordinateur caché, celui-ci peut se connecter à votre smartphone en mode de transfert de données à l’aide du protocole de transfert de médias (MTP) ou du protocole de transfert d’images (PTP) et extraire des données de l’appareil. Cette attaque est connue sous le nom de juice-jacking, et Google et Apple ont rapidement mis au point une mesure de protection : lorsqu’un smartphone est connecté à un dispositif prenant en charge les protocoles MTP et PTP, l’utilisateur est invité à indiquer s’il souhaite autoriser le transfert de données ou se contenter de recharger l’appareil. Pendant de nombreuses années, cette simple précaution a semblé résoudre le problème… jusqu’en 2025, lorsque des chercheurs de l’université technologique de Graz, en Styrie (Autriche), ont découvert un moyen de la contourner.
L’attaque ChoiceJacking
Dans les nouvelles attaques, baptisées attaques ChoiceJacking, un appareil malveillant camouflé en borne de recharge confirme de lui-même que la victime souhaite soi-disant se connecter en mode transfert de données. Selon le fabricant et la version du système d’exploitation, il existe trois formes d’attaque. Chaque variante permet de contourner une limitation du protocole USB : un appareil ne peut pas fonctionner simultanément en mode hôte (comme un ordinateur) et en mode périphérique (par exemple, comme une souris ou un clavier).
La première méthode est la plus complexe, mais elle fonctionne aussi bien sur iOS que sur Android. Un micro-ordinateur est déguisé en borne de recharge. Ce micro-ordinateur peut se connecter à un smartphone en tant que clavier USB, hôte USB (ordinateur) ou clavier Bluetooth.
Lorsque le smartphone est branché, la borne malveillante émule un clavier USB et envoie des commandes pour activer le Bluetooth et se connecter à un périphérique Bluetooth, c’est-à-dire le même ordinateur malveillant, qui se fait maintenant passer pour un clavier Bluetooth. Ensuite, le système se reconnecte via USB et se fait désormais passer pour un ordinateur. Le smartphone demande à l’utilisateur s’il autorise le transfert de données, et l’appareil malveillant confirme la demande par une « frappe » Bluetooth.
La seconde méthode ne fonctionne que sur Android et ne requiert pas de connexion Bluetooth. Le chargeur malveillant se fait passer pour un clavier USB et inonde le smartphone de frappes, saturant ainsi la mémoire tampon d’entrée. Pendant que le système d’exploitation traite ces données sans importance, le chargeur se déconnecte et se reconnecte, cette fois en tant qu’ordinateur. Une invite s’affiche à l’écran pour demander le mode de connexion, et c’est à ce moment-là que la fin de la mémoire tampon du clavier est lue, contenant une séquence de touches qui confirme la connexion en mode transfert de données (MTP, PTP, ou même le mode de débogage ADB).
La troisième méthode, également réservée à Android, exploite le fait que tous les smartphones testés mettent en œuvre de manière incorrecte le protocole Android Open Access Protocol (AOAP). L’appareil malveillant se connecte immédiatement en tant qu’ordinateur et, lorsque l’écran de confirmation s’affiche, il envoie les événements de frappe appropriés par l’intermédiaire du protocole AOAP. Le protocole interdit le fonctionnement simultané en mode USB-hôte et en mode AOAP, mais dans la pratique, cette restriction est souvent ignorée.
Quels sont les appareils protégés contre l’USB ChoiceJacking ?
Apple et Google ont bloqué ces méthodes d’attaque dans iOS/iPadOS 18.4 et Android 15, respectivement. Pour confirmer le transfert de données USB, il ne suffit pas d’appuyer sur le bouton Oui : il faut passer par l’authentification biométrique ou saisir un mot de passe. Malheureusement, sur Android, la version du système d’exploitation ne suffit pas à elle seule pour garantir la sécurité de votre smartphone. Par exemple, les appareils Samsung fonctionnant sous One UI 7 ne requièrent pas d’authentification, même après la mise à jour vers Android 15.
C’est pourquoi il est conseillé aux utilisateurs d’Android qui sont passés à Android 15 de connecter leur smartphone à un ordinateur sûr via un câble et de vérifier si une confirmation par mot de passe ou biométrie est demandée. Sinon, évitez les bornes de recharge publiques.
Est-ce grave et comment vous protéger ?
Bien que les organismes chargés de l’application de la loi aient quelquefois mis en garde contre les attaques de vols de données par USB (1, 2), aucune attaque réelle n’a jamais été documentée publiquement. Cela ne signifie pas qu’il n’y en a jamais eu, mais il ne s’agit clairement pas d’une menace généralisée.
Si vous redoutez de telles attaques, chargez vos appareils uniquement à l’aide de votre chargeur ou de votre batterie externe, ou utilisez un bloqueur de données USB, c’est-à-dire un adaptateur qui ne laisse passer que l’électricité à travers le câble tout en empêchant la transmission de données. Ces adaptateurs, également appelés « préservatifs USB », sont assez efficaces, mais peuvent ralentir la charge des smartphones récents, car ils bloquent également les signaux de données nécessaires au mode de charge rapide. Vous pouvez également utiliser un câble USB bon marché destiné uniquement à la recharge (qui ne peut pas transmettre de données). Cela dit, il convient de le tester d’abord avec un ordinateur sécurisé pour s’assurer qu’aucune invite de transfert de données ne s’affiche à l’écran. Vous devrez ensuite l’emporter partout avec vous, et garder à l’esprit qu’il ne permet pas non plus d’utiliser la fonction de charge rapide.
La protection la plus importante et la plus répandue consiste à actualiser votre système avec les dernières versions d’Android ou d’iOS.
Si vous vous retrouvez dans cette situation, c’est-à-dire avec un système d’exploitation obsolète, sans bloqueur de données et un besoin urgent d’utiliser le chargeur USB le plus proche, restez vigilant pendant la recharge. Lorsque vous connectez le téléphone, observez l’écran : si l’appareil ne se met pas simplement à charger mais vous invite à choisir le type de connexion, sélectionnez Recharge uniquement. Si vous craignez vraiment pour vos données, il vaut mieux débrancher et chercher un port moins « intelligent ».
Pour découvrir d’autres astuces insolites concernant les smartphones, jetez un coup d’œil aux articles suivants :
Conseils