Les propriétaires d’iPhone et d’iPad sont visés par une nouvelle menace : de faux câbles de charge Lighning malicieux, capables de pirater les PC et Macs auxquels ils sont branchés, sont sur le point d’être commercialisés. Le connecteur USB de ce câble cache une puce qui permet de charger des commandes à distance. Ils sont très difficiles à identifier.
Le chercheur en sécurité Mike Grover (plus connu sous ses initiales MG) a eu l’idée brillante de concevoir un câble de charge Lightning pour iPhone qui a la particularité de cacher une puce dans son connecteur USB permettant de pirater tout ce qu’on y branche – autrement dit votre PC ou Mac. Cette puce est entièrement programmable, et peut même se connecter en Wifi au smartphone de l’attaquant.
iPhone, iPad : gare aux faux câbles Lightning
Il est, en outre, possible de l’effacer à distance pour neutraliser la partie malicieuse du câble, qui reste par ailleurs complètement fonctionnel, que ce soit pour charger l’iPhone ou le synchroniser. Le câble est en tout point identique aux câbles officiels vendus par Apple. Ce qui le rend donc potentiellement très dangereux.
A l’origine, MG avait produit une poignée de ces câbles de manière artisanale, dans sa cuisine, armé d’une imprimante 3D. Ils en avait ainsi proposé quelques uns 200 dollars en marge de la conférence DEF CON. Il annonce désormais sur Twitter que ces câbles sont désormais prêts à être produits en masse, et le site spécialisé Hak5 propose déjà une page pour être informé lorsque le produit, baptisé O.MG Cable, sera disponible.
On peut ainsi lire sur la page du produit : « le O.MG Cable permet de créer, enregistrer et transmettre des payload totalement à distance. Le câble est conçu pour les Red Teams [pentesters, qui testent la sécurité des réseaux informatiques d’entreprises et autres entités, ndlr] avec des fonctionnalités comme les payload additionnels, l’absence d’énumération USB avant l’exécution du payload, et la capacité de supprimer le firmware […] ce qui provoque le retour du câble à un état entièrement inoffensif. Et ce n’est que les fonctionnalités qui ont été dévoilées ».
Ce câble serait pour ne rien arranger plutôt bon marché – il serait vendu autour de 100 dollars, à une date qui n’est pas encore communiquée. Il n’est pas certain qu’il soit possible de se prémunir contre ce genre d’attaque, si ce n’est en utilisant exclusivement des câbles que vous avez acheté vous même.
Source : Gizmodo