Du juice jacking au choicejacking : la menace s’intensifie
Pendant plus d’une décennie, le « juice jacking » a représenté un risque bien réel dans les lieux publics équipés de bornes USB non sécurisées : aéroports, cafés, gares… Des pirates y installaient des malwares ou subtilisaient des données dès qu’un smartphone était branché pour se recharger. Apple et Google ont depuis renforcé leurs protections, en limitant par défaut la connexion aux seuls circuits d’alimentation quand l’appareil est verrouillé. Mais un nouveau danger est apparu : le choicejacking, une version plus sophistiquée et insidieuse du juice jacking traditionnel.
Comment fonctionne le choicejacking ?
Des chercheurs de la prestigieuse TU Graz, en Autriche, ont détaillé cette attaque dans un article scientifique : le choicejacking n’exploite pas seulement la simple connexion de données, il va jusqu’à simuler l’interaction de l’utilisateur pour valider des choix à sa place. Concrètement :
- Le câble ou la station malveillante se fait passer pour un accessoire USB légitime (clavier, souris, etc.) via l’Android Open Accessory Protocol (AOAP).
- Une fois la connexion établie, le pirate utilise l’Android Debug Bridge (ADB) pour envoyer des commandes simulant des touches et ouvrir les paramètres USB.
- Le prompt d’autorisation que l’utilisateur doit normalement valider (« transférer des données » vs « seulement charger ») est automatiquement accepté : le système croit que c’est vous qui avez cliqué.
- Le smartphone bascule en mode transfert de données et les fichiers, contacts, photos et mots de passe sont aussitôt siphonnés.
Sur iOS, le mécanisme diffère mais reste trompeur : le câble truqué peut se faire passer pour un accessoire Bluetooth (comme un casque), incitant le téléphone à établir une connexion de données. Même si le niveau d’accès reste limité par rapport à Android, des informations sensibles peuvent tout de même être exfiltrées.
Quels appareils sont vulnérables ?
Le rapport de la TU Graz révèle que huit modèles de smartphones parmi les plus populaires ont été testés, incluant des marques telles que Xiaomi, Samsung, Google et Apple. Alors qu’on pensait les protections robustes suffire, le choicejacking prouve que même les dernières versions d’Android et d’iOS peuvent être dupées sans laisser de trace évidente à l’écran.
Les fabricants, alertés par les chercheurs, ont réagi : six d’entre eux ont déjà publié ou programmé des correctifs pour bloquer la capacité des câbles à se faire passer pour des accessoires AOAP ou Bluetooth malveillants.
Les risques encourus
Une fois vos données accessibles, les conséquences peuvent être dramatiques :
- Accès à vos comptes bancaires et applications sensibles.
- Récupération de vos photos, documents ou messages privés.
- Installation silencieuse de ransomwares, espionnage de vos activités.
- Vol d’identité grâce aux informations personnelles extraites.
Vous n’avez aucune alerte visuelle, aucun pop-up suspect : le système considère que vous avez donné votre accord en toute conscience, ce qui rend le choix de l’utilisateur complètement fictif.
Comment se défendre efficacement ?
Les chercheurs autrichiens recommandent plusieurs mesures de protection pour limiter drastiquement l’exposition au choicejacking :
- Éviter les stations de recharge publiques : préférez votre propre chargeur et votre prise secteur ou un power bank personnel.
- Utiliser un câble « charge seulement » : ces câbles ont les broches de données déconnectées, empêchant tout échange de fichiers.
- Installer un adaptateur USB data blocker : petit dongle se plaçant entre votre câble et la prise, il filtre les données pour ne laisser passer que la charge.
- Activer le Lockdown Mode (Android 12 et ultérieurs) : ce mode de sécurité désactive tous les accès USB dès que l’écran est verrouillé.
- S’assurer que votre système est à jour : installez les dernières mises à jour logicielles pour bénéficier des correctifs publiés.
Quelques gestes simples au quotidien
En complément des outils technologiques, adoptez ces bonnes pratiques :
- Ne branchez pas votre smartphone n’importe où : privilégiez vos accessoires personnels.
- Surveillez les annonces de sécurité : abonnez-vous aux bulletins de votre constructeur.
- Blocage automatique des données : vérifiez dans les paramètres que votre mode par défaut reste « seulement charger » lorsqu’il est verrouillé.
- Méfiez-vous des câbles « gratuits » offerts dans certains stands : ils peuvent contenir la menace intégrée.
Un rappel de vigilance
Le choicejacking montre que les cybercriminels ne lâchent rien et adaptent sans cesse leurs méthodes pour contourner les protections. Si la technologie de votre fabricant vous propose des options de blocage automatique, configurez-les et testez-les régulièrement. En voyage ou en déplacement professionnel, mieux vaut anticiper en emportant uniquement vos propres accessoires sécurisés.
Ainsi, vous conserverez la maîtrise de vos données et réduirez à néant les risques d’une attaque aussi furtive que redoutable.