Les stations de recharge publiques sont devenues très courantes. Vous pouvez désormais trouver des prises dans les centres commerciaux, les aéroports, ainsi que dans les restaurants et les cafés.
Cependant, un rapport de l’entreprise de sécurité Kaspersky a révélé que des criminels utilisent ces prises publiques pour mettre en œuvre des arnaques visant à voler des données et des photos.
Les attaques, connues sous le nom de ChoiceJacking, sont réalisées de trois façons différentes selon l’entreprise. La première implique un micro-ordinateur déguisé en station de recharge.
Cette version de l’attaque est la plus complexe, car elle est efficace à la fois pour les appareils iOS et Android. Elle fonctionne comme suit : lorsqu’un smartphone est connecté, l’ordinateur émule un clavier USB et envoie des commandes pour activer le Bluetooth de l’appareil.
Une fois activé, l’ordinateur se fait passer pour un clavier Bluetooth. Ensuite, il se connecte via USB en se faisant passer pour un ordinateur. Le téléphone demande alors à l’utilisateur s’il autorise le téléchargement des données et, à l’aide du clavier Bluetooth, l’ordinateur appuie lui-même sur “Oui”.
La deuxième méthode ne fonctionne que sur les téléphones Android et est un peu plus simple, car elle ne nécessite pas de connexion Bluetooth. Dans cette version, l’ordinateur se fait passer pour un clavier USB et surcharge le téléphone avec des frappes de touches.
Pendant que le téléphone essaie de traiter ces entrées absurdes, l’ordinateur se déconnecte et se reconnecte, mais cette fois en tant qu’ordinateur. Il peut alors confirmer à nouveau le transfert de données.
La troisième méthode, qui fonctionne également uniquement sur Android, exploite le protocole AOAP (Android Open Accessory Protocol), qui est mal implémenté sur presque tous les smartphones.
Ainsi, l’ordinateur peut se connecter automatiquement et, lorsque l’écran de confirmation de téléchargement des données apparaît, il utilise des frappes de touches pour valider toutes les étapes nécessaires via AOAP.
Lors des tests réalisés par Kaspersky, les tentatives d’attaque ont été bloquées par Apple et Google sur iOS/iPadOS 18.4 et Android 15. En effet, sur ces systèmes, le transfert de données via USB nécessite une authentification biométrique, et ne dépend plus du simple bouton “Oui”.
Cependant, ils ont souligné que la version d’Android à elle seule ne suffit pas à bloquer les attaques. Sur les téléphones Samsung avec l’interface One UI 7, l’authentification biométrique n’est pas requise, même avec Android 15.
Avant d’utiliser une prise publique, l’entreprise recommande aux utilisateurs Android de faire un test : connectez votre appareil à un ordinateur de confiance via un câble USB. Si l’appareil ne demande pas d’authentification biométrique pour transférer des données, il vaut mieux éviter les stations de recharge publiques.
Il est également recommandé de garder votre système d’exploitation à jour, de privilégier l’utilisation de votre propre chargeur ou d’emporter une batterie externe en cas d’urgence.
Photo et vidéo : ChatGPT-4. Ce contenu a été créé avec l’aide de l’IA et révisé par l’équipe éditoriale.
