Quel est le degré de sécurité des stations de recharge pour smartphones disponibles gratuitement dans les aéroports, les bars ou les transports publics ?
Les données stockées sur l'appareil sont-elles divulguées à l'extérieur ?
Nos experts se sont penchés sur ces questions et d'autres similaires dans le cadre d'une étude de faisabilité et sont arrivés à la conclusion que les smartphones peuvent être compromis pendant le processus de charge via une connexion USB.
Les smartphones peuvent être compromis via la charge USB
Dans l'étude de Kaspersky, un certain nombre de smartphones fonctionnant sous différents systèmes d'exploitation Android et iOS ont été examinés dans un premier temps afin de déterminer quelles données l'appareil divulgue en externe lors du processus de chargement avec un PC ou un Mac.
Les résultats du test montrent : Les appareils mobiles révèlent - selon l'appareil et le fournisseur - une série de données à l'ordinateur, telles que le nom de l'appareil, le fabricant, le type d'appareil, le numéro de série, des informations sur le microprogramme et le système d'exploitation, le système de fichiers/la liste des fichiers et l'identification de la puce électronique.
Le problème de la sécurité : Les smartphones, en tant que compagnons de tous les instants, deviennent ainsi intéressants pour des tiers qui pourraient être intéressés par la collecte de ces données afin de les utiliser ensuite pour eux-mêmes.
"Les risques de sécurité sont évidents : les utilisateurs peuvent être suivis grâce aux identifiants de leurs appareils et le téléphone portable peut être secrètement infecté. Les décideurs des grandes entreprises pourraient donc facilement devenir la cible de hackers professionnels", déclare Alexey Komarov, chercheur en sécurité chez Kaspersky Lab.
"Les pirates n'ont même pas besoin d'être très qualifiés pour mener à bien une telle attaque, car toutes les informations nécessaires sont faciles à trouver sur Internet."
Lors de la conférence Black Hat 2014, il a déjà été démontré que les smartphones peuvent être infectés par un malware en le connectant à une fausse station de recharge.
Les experts de Kaspersky Lab ont reproduit le scénario.
Il suffisait d'un PC ordinaire, d'un câble micro USB standard et de quelques commandes spécifiques (jeu de commandes AT).
Il était ainsi possible d'installer secrètement (via un "re-flash") une application "root" sur un smartphone.
C'est-à-dire que le smartphone a été compromis sans l'utilisation d'un programme malveillant.
Octobre Rouge et Hacking Team, par exemple
Bien qu'aucune information sur les incidents d'infection actuels avec des stations de recharge fictives ne soit connue à ce jour, des vols de données à partir d'appareils mobiles connectés à des ordinateurs se sont déjà produits par le passé.
Cette technique a été utilisée, par exemple, dans la campagne de cyberespionnage "Octobre rouge" ainsi que dans "Hacking Team".
Les deux acteurs de la menace ont trouvé un moyen d'exploiter pour eux-mêmes l'échange de données supposé sécurisé entre le smartphone et le PC.
Pour minimiser le risque d'une éventuelle attaque via des stations de recharge inconnues et des ordinateurs non fiables, les utilisateurs doivent :
- N'utilisez que des stations de charge USB et des ordinateurs de confiance pour charger l'appareil mobile ;
- Protégez l'appareil mobile avec un mot de passe ou une reconnaissance d'empreinte digitale et ne le déverrouillez pas pendant la charge.
- Utilisez des technologies de cryptage et des conteneurs sécurisés (qui sont des zones protégées sur l'appareil mobile utilisées pour isoler les données sensibles) ;
- protéger les appareils mobiles ainsi que les PC et les Mac à l'aide d'une solution de sécurité telle que Kaspersky Total Security Multi-Device pour les particuliers ou Kaspersky Mobile Security pour les entreprises.