Qu’est-ce que le Juice-Jacking ?

Après le car-jacking (piraterie routière) et le home-jacking (piraterie à domicile), voici qu’apparaît le juice-jacking. Encore peu développée en Europe, cette pratique frauduleuse risque cependant de prendre prochainement de l’importance dans nos contrées. Définition et illustration.

Définition du Juice-Jacking

Moins violent que les autres bidules-jacking, le juice-jacking* ne consiste pas à voler des biens matériels sous la menace physique (voiture, argent, bijoux, etc.), mais à subtiliser en douceur des informations personnelles, dans le but d’en retirer un avantage pécuniaire ou d’usurper une identité. Il y a de nombreuses manières de pirater des données personnelles, mais elles sont souvent détournées : cracking Wi-Fi, logiciels malveillants, piratage de comptes Internet (mail, réseaux sociaux, sites commerciaux), etc. Le juice-jacking, lui, est un procédé qui se connecte directement (physiquement) à un appareil mobile : smartphone, PDA, tablette…

Concrètement, le juice-jacking utilise le courant électrique (« juice »). Cela prend souvent la forme de bornes publiques de recharge de batteries, que l’on peut trouver dans les lieux de transit, comme par exemple les aéroports, les gares, les restaurants, etc. Beaucoup plus répandus outre-Atlantique qu’en Europe, ces dispositifs devraient cependant se développer chez nous dans les prochaines années, avec le boum des appareils mobiles. Prudence donc.

*De l’anglais Juice (pour courant électrique) et Jacking (vol, détournement), le Juice-Jacking est un procédé permettant de subtiliser les données personnelles (d’un smartphone par exemple) pendant la recharge de la batterie. Par exemple via les bornes publiques de recharge que l’on peut trouver dans les aéroports.

Illustration

Vous êtes de sortie, et la batterie de votre compagnon mobile (téléphone, smartphone, PDA, tablette, etc.) rend son dernier souffle. Bien évidemment, c’est à ce moment précis que vous avez besoin de passer un coup de fil urgent ou autre. Vous êtes dans un hôtel, un aéroport ou un centre commercial, mais vous n’avez pas votre chargeur. Par miracle, vous trouvez un kiosque de chargement gratuit, pouvant alimenter par USB votre appareil. Que faites-vous ? Pensez-vous un seul instant que ce kiosque est capable de lire et de récupérer toutes vos données, ou même d’installer un malware sur votre appareil ? Probablement pas.

C’est en tout cas le constat d’une enquête menée par le journaliste américain Brian Krebs, spécialisé en sécurité informatique. Les personnes qu’il a questionnées utilisent couramment ces kiosques et sont des professionnels de la sécurité. La plupart pourtant ne se méfie pas de ce genre d’appareil !

Une expérience de juice-jacking a d’ailleurs été menée au dernier DefCon, un important congrès du monde du hacking qui se tient tous les ans à Las Vegas. Le collectif qui a réalisé cette expérience s’était déjà illustré lors d’une édition précédente, avec un dispositif piégé montrant les dangers de communiquer sur Internet à partir d’un réseau Wi-Fi ouvert (hotspot).

Un des visiteurs utilisant le kiosque à recharge du DefCon

Cette année, le collectif a installé une station de recharge au milieu du salon. Bien que les visiteurs présents soient plutôt conscients des risques de hacking en tout genre, il semblerait qu’ils soient également prêts à prendre n’importe quels risques pour recharger leur mobile ! En effet, en 3 jours et demi, plus de 360 visiteurs ont utilisé le kiosque en question.

Sauf que ce kiosque était piégé ! Ou plutôt un vrai-fauxkiosque pédagogique. Brian Markus (Président de Aires Security) la démarche : « Nous savons à quel point ces kiosques peuvent être dangereux. Par défaut, la plupart des smartphones sont configurés pour se connecter et déposer directement des données […]. N’importe qui avec de mauvaises intentions pourrait mettre à l’intérieur d’un kiosque un système qui permettrait d’aspirer toutes les informations et photos, voire même d’installer un malware sur l’appareil« .

Quel que soit le câble dont vous avez besoin, le kiosque le proposeLe kiosque de Markus proposait de nombreux câbles capables de recharger la plupart des appareils mobiles. Quand aucun appareil n’était connecté, le kiosque affichait ce message sur un écran LCD : « Free Cell Phone Charging Kiosk » (« Station gratuite de recharge de téléphones mobiles »). Dès qu’un appareil était connecté, un nouveau message s’affichait en rouge : « Vous ne devriez pas connecter votre smartphone à ce genre de kiosque public. Des informations peuvent être récupérées ou téléchargées sans votre consentement. Heureusement pour vous, cette station n’a qu’un but pédagogique, vos données sont intactes. Profitez de la recharge gratuite !« .

Le moyen le plus sûr de recharger les batteries de son téléphone est d’utiliser le cordon électrique avec une prise murale. Si vous devez utiliser une station de recharge publique, il vaut mieux éteindre son appareil avant de le brancher.

Sources : https://krebsonsecurity.com/2011/08/beware-of-juice-jacking/#.Tky7n7-onIs.twitter
http://www.panoptinet.com/culture-cybersecurite/quest-ce-que-le-juice-jacking/

no comments