Pourquoi ne faut-il absolument pas brancher ses appareils USB sur des bornes publiques ?

Posté par  (site web personnel) . Édité par Benoît Sibaud, ZeroHeure, Florent Zara et bubar🦥. Modéré par patrick_g. Licence CC By‑SA.
42
8
mar.
2015
Sécurité

Bornes USB à Paris
Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.

Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?

NdM: l'article original de matlink a été enrichi en modération.

Un risque pour vos données ?

Pour certains, cela paraît être une bonne idée. En réalité, cela pose un gros problème de sécurité : et si ces bornes copiaient les données présentes sur les appareils que l'on y connecte ? Car il est facile d'écrire un script qui détecte la connexion sur un port USB et qui copie l'intégralité des données qui s'y trouvent. Ces données VOUS appartiennent et vous êtes seuls juges de ce qu'elles doivent devenir. Soyez donc conscients que cela est possible, et que si vous branchez votre téléphone sur ces bornes, alors vous prenez le risque de vous les faire copier !
On peut aussi spéculer en disant que ces données totalement personnelles pourraient être revendues etc.

C'est moins cool, d'un coup !

Un moyen prophylactique ?

Pour parer cela il est possible d'acheter des câbles de chargement qui ne font que cela, ou encore de les faire soi-même en coupant les fils adéquats (deux fils pour les données, deux pour l'alimentation). On peut ainsi bénéficier des bornes "publiques" de rechargement, service offert par des aéroports mais aussi des bus, etc., sans pour autant craindre une quelconque copie de données.

Évidemment ça ne résout pas les cas où vous voulez vraiment échanger des données, par exemple avec des clés USB fixées dans les murs par des inconnus.

Généralisation

Le risque est aussi vrai dans l'autre sens : attention à ce que vous branchez sur vos propres ports USB (exemples un et deux). C'est aussi valable pour l'abribus qui fournit de l'USB à des périphériques inconnus — mais aussi parfois du NFC et du wifi (donc il y a probablement un ordinateur derrière tout ça) — et dont on peut espérer que sur son port USB les deux fils de données sont coupés.

Dis autrement, soit les périphériques à la prise USB mâle et à la prise USB femelle se font confiance (*), soit chacun de son côté prend ses précautions pour ne laisser passer que l'alimentation (ou que des opérations autorisées sur les données).

(*) on notera qu'un peu de confiance est toujours nécessaire, par exemple si quelqu'un avait alimenté un port USB en 230V 50Hz, cela grillerait le périphérique connecté et/ou électrocuterait son propriétaire.

Aller plus loin

  • # rien

    Posté par  (site web personnel) . Évalué à -3. Dernière modification le 08 mars 2015 à 20:18.

    never mind– je n'avais pas lu tout l'article

  • # USB Condom

    Posté par  (site web personnel) . Évalué à 10.

    Désolé c'est vieux mais bon… http://int3.cc/products/usbcondoms

    • [^] # Re: USB Condom

      Posté par  . Évalué à 6.

      Pourquoi tous ces composants (résistances, etc.) s'il suffirait de router uniquement deux fils sur les quatre ?

      • [^] # Re: USB Condom

        Posté par  . Évalué à 3.

        Probablement une régulation de la tension d'alim. Perso tant qu'à faire un PCB, autant rajouter quelques composants pour s'assurer que le machin n'est pas en train d'injecter du 120VDC.

        • [^] # Re: USB Condom

          Posté par  (site web personnel) . Évalué à 9.

          A mon avis, c'est plutôt un pont diviseur pour amener les broches D+ et D- (données) à une bonne valeur. En tout cas sur le schéma, c'est ce que je comprend.

          De mémoire, D+ doit avoir un pull-down et D- un pull-up au 3.3V
          (Oui, en USB, on alimente en 5V mais on communique en 3.3V)

          En plus certains devices nécessitent que ces broches soient à un certain niveau pour être chargés (typiquement les iphones, mais il doit y en avoir d'autres)

    • [^] # Re: USB Condom

      Posté par  . Évalué à 7.

      Il y a aussi des fournisseurs d'alimentation USB qui donnent un cable incapable de faire du transport de donnee. Comme quoi ca peut etre utile des fois de faire le rat pour deux bouts de cuivre…

      • [^] # Re: USB Condom

        Posté par  (site web personnel) . Évalué à 5. Dernière modification le 10 mars 2015 à 21:24.

        Par contre quand je branche un téléphone non-iphone sur un chargeur usb d’iphone, le téléphone me demande si je dois mettre le téléphone en mass-storage, en mtp ou partager le modem. Ils ont bien réussi à placer un ordinateur dans leur câble vidéo, alors pourquoi pas dans le chargeur ? Je n’ai jamais démonté ce chargeur pour voir ce qu’il y avait dedans, mais même s’il n’y avait rien de grave, l’exemple du câble vidéo montre que c’est faisable…

        ce commentaire est sous licence cc by 4 et précédentes

  • # plus simple

    Posté par  . Évalué à 10.

    dans l'article sur la bidouille on lit ceci :

    On imagine bien que pour gérer tout ça a chaque arrêt de bus, il dois bien y avoir un espèce de mini pc équipé de ports usb, ou une connerie du genre.

    je pense que c'est simplement un simple port USB relié à du 5V, ça coûtera quand même sensiblement moins cher que d'installer un mini PC à chaque fois.

    Enfin bon, le principe de précaution n'est pas forcément une mauvaise chose, en tout cas pour se bricoler un câble qui fait simplement recharge, le plus rapide est de couper un câble USB existant, et de raccorder uniquement le fil rouge sur le fil rouge, le fil noir sur le fil noir (avec un domino si on n'a pas de fer à souder).

    « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

    • [^] # Re: plus simple

      Posté par  . Évalué à 10.

      Le fil rouge sur le bouton blanc, le fil vert sur le bouton bleu.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: plus simple

      Posté par  . Évalué à 2.

      ça existe depuis belle lurette les cables usb sans la partie data. Tout kit d'entrée de gamme de chargeur voiture utilise ce genre de câble pour trois franc six sous ….

    • [^] # Re: plus simple

      Posté par  . Évalué à 10.

      pour se bricoler un câble qui fait simplement recharge, le plus rapide est de couper un câble USB existant, et de raccorder uniquement le fil rouge sur le fil rouge, le fil noir sur le fil noir

      Je me demande si ce n'est pas encore plus rapide de couper uniquement les deux fils de data, plutôt que de couper les quatre puis d'en souder deux.

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: plus simple

        Posté par  . Évalué à 1.

        oui, j'y ai pensé aussi, mais pour avoir déjà bricolé des câbles usb, c'est tellement fin que ce n'est pas évident d'épargner les bons fils, enfin, ça dépend de ta précision :)

        « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # De la part de l'auteur du script

    Posté par  (site web personnel) . Évalué à 8.

    Lorsque j'ai créé ce script, les bornes de bus avec port USB n'existaient pas.

    J'étais plutôt intrigué par les boites noires que constituent les pédalos pour recharger son téléphone, qu'on trouve dans les aéroports.(Vraiment débile, il y en a qui croient se "verdir" une demi heure avant de faire péter le kérozène ?)

    Il y a aussi le PC du bureau sur lequel on branche son smartphone pour le recharger la journée et duquel l'admin pourrait également tranquillement piocher dans vos données.

    Bref, Android manque d'un popup avec opt-in pour activer la communication de donnée lorsqu'on le branche en USB. Dans le doute je désactive toujours le partage de données par USB.

    Pour info le script cité dans l'article pompe tout ce qui est en UMS (clés USB, anciens smartphones android) et MTP(baladeurs audio, certains appareils photos, nouveaux smartphones android) et il y a même un .deb. Enjoy !

    • [^] # Re: De la part de l'auteur du script

      Posté par  . Évalué à 0.

      Hmmmmmm mais ce pop-up existe, au moins sur ma 4.1. Par contre il utilise le paramétrage dernièrement utilisé pour la connexion courante… ça c’est laid.

      Tosson Android c’est laid tout court.

    • [^] # Re: De la part de l'auteur du script

      Posté par  (site web personnel) . Évalué à 6.

      J'étais plutôt intrigué par les boites noires que constituent les pédalos pour recharger son téléphone, qu'on trouve dans les aéroports.(Vraiment débile, il y en a qui croient se "verdir" une demi heure avant de faire péter le kérozène ?)

      Il y a ça dans les gares et d'autres lieux publics, donc l'intérêt « écologique » n'est pas totalement ridicule. Puis je trouve le concept intéressant. Déjà d'un point de vue éducatif, l'utilisateur peut mesurer l'effort nécessaire pour gagner quelques pourcentages de batteries. De plus ça permet de se réchauffer (dans les gares parisiennes :)) ou de se dépenser un peu tout en permettant la recharge de son appareil.

      Bref, Android manque d'un popup avec opt-in pour activer la communication de donnée lorsqu'on le branche en USB. Dans le doute je désactive toujours le partage de données par USB.

      J'ai pourtant déjà vu ça sur des Android d'usine. Le Jolla le propose aussi.
      Est-ce que ces options à la demande sont réellement efficaces ?

      • [^] # Re: De la part de l'auteur du script

        Posté par  (site web personnel) . Évalué à 1.

        oui ça permet aux gens de s'occuper de manière "utile" en attendant les trains, puis vu les retards y a moyen de faire ses 30 minutes de sport par jour

        J'ai pourtant déjà vu ça sur des Android d'usine. Le Jolla le propose aussi.

        C'est ce que j'ai aussi avec ma liseuse sony PRS-T1 (un android modifié), quand je le branche sur le pc il demande explicitement si je veux activer le transfert de donnée

      • [^] # Re: De la part de l'auteur du script

        Posté par  . Évalué à 2.

        perso, quand je branche mon android sans activer le stockage usb :

        $> ls /dev/sdb*
        /dev/sdb

        Du coup je crois que c'est juste de la merde****

      • [^] # Re: De la part de l'auteur du script

        Posté par  . Évalué à 1.

        J'ai pourtant déjà vu ça sur des Android d'usine. Le Jolla le propose aussi.
        Est-ce que ces options à la demande sont réellement efficaces ?

        Sur le jolla, c'est fait de la façon suivante.

        Trois mode au choix à chaque connexion de l'USB :
        - développeur (usb-net + ssh ouvert)
        - Connexion PC (usb-storage + MTP pour l'accès aux données)
        - Charge seulement (1)

        Ça peut se choisir par défaut (pratique en usage itinérant ou si on ne connecte en filaire que pour recharger).

        (1) mais c'est un peu étrange: le noyau voit quand même arriver un périphérique usb storage mais MTP ne reconnaît pas le périphérique.
        "bus: 1, device: 75 was not an MTP device"
        Du coup, on ne peut rien en faire.

  • # Sinon

    Posté par  (site web personnel) . Évalué à 5.

    Il y'a plus simple, en tout cas sous Android, on laisse son téléphone verrouillé et on est sur que personne n’accédera au données… En effet, il faut déverrouillé le téléphone pour débloquer l'accès MTP…

    • [^] # Re: Sinon

      Posté par  . Évalué à 7.

      Pas sur le mien.
      Un téléphone avec Android 4.0.3 acheté il y a 2 ans je crois.

      Je le branche sur mon PC, Linux m'affiche un pop-up pour savoir si je veux ouvrir le navigateur de fichiers, et j'ai accès à tout.
      C'est peut-être corrigé sur les nouvelles versions.

    • [^] # Re: Sinon

      Posté par  (site web personnel) . Évalué à 2.

      En effet, il faut déverrouillé le téléphone pour débloquer l'accès MTP…

      Pareil chez moi.
      Mais quand je suis à l'arrêt de bus, je dévérouille souvent le téléphone pour lire l'actu en attendant le bus. du coup, ben… C'est déverrouillé aussi pour le MTP.
      Il ne me semble pas que ce soit 2 choses séparées, une fois dévérouillé, c'est pour l'écran et pour l'USB.

      PS : je m'étais dit la même chose pendant un moment, jusqu'à tilter que le téléphone, ben je l'utilise aussi.

  • # PortPilot : une autre solution

    Posté par  (site web personnel) . Évalué à 9.

    Il existe une protection intermédiaire. C'est le projet PortPilot qui a bénéficié d'un financement participatif. En bref, cela se présente sous la forme d'une banale clé USB qu'on branche sur le port USB sachant qu'on va ensuite brancher notre téléphone sur cette clé PortPilot. PortPilot bloque toute transmission de données et donne également des indications techniques sur le port USB utilisé (puissance, présence d'un PC)

    Pour des infos complémentaire en français, voir Korben :
    http://korben.info/portpilot-pour-charger-votre-telephone-en-toute-securite.html

    PortPilot.net, le site source du projet :
    http://portpilot.net/

  • # Paranoïa

    Posté par  . Évalué à 3.

    Vous croyez vraiment que derrière ces ports USB il y a un système complet ?

    Il s'agit sans aucun doute d'un simple transfo 5V, rien de plus. Beaucoup moins cher et peu sujet aux pannes.

    Il faut arrêter de voir le mal aux endroits où il n'est pas. Ces thèses complotistes sont vraiment absurdes.

    • [^] # Re: Paranoïa

      Posté par  (site web personnel) . Évalué à 10.

      Tu crois vraiment que la NSA a un accès direct aux datacenters des géants du web ? Qu'ils auraient appelé comme un simple dispositif qui diffracte la lumière ?

      • [^] # Re: Paranoïa

        Posté par  (site web personnel) . Évalué à -6.

        Oui en même temps 99% des gens n'ont rien de sensible sur leur téléphone, les autres, leur téléphone est totalement chiffré et le mtp désactivé et non activable, donc la nsa, ils s'en branlent des photos de vacances de Monsieur dupond…

        • [^] # Re: Paranoïa

          Posté par  (site web personnel) . Évalué à 6.

          Si M. Dupont est avec sa secrétaire et non sa femme, cela pourrait lui être utile plus tard. Surtout avec des photos.

          "La première sécurité est la liberté"

          • [^] # Re: Paranoïa

            Posté par  (site web personnel) . Évalué à -1.

            Le rapport avec la NSA?

            • [^] # Re: Paranoïa

              Posté par  (site web personnel) . Évalué à 10.

              La NSA veut tout stoquer et indexer pour "plus tard".

              Par exemple, pour rentrer dans les systèmes, ils visent les administrateurs système pour avoir mot de passe et accès. On peut imaginer qu'un "chantage à la maitresse" peut être très utile pour pénétrer un système.

              Les services secret ont rarement des méthodes très propres.

              "La première sécurité est la liberté"

              • [^] # Re: Paranoïa

                Posté par  . Évalué à 7.

                Bon, l'exemple n'est pas top car les informaticiens en général ont déjà du mal à trouver une copine, alors de là à avoir une maîtresse… ;) (<- je suis informaticien)

                Nan, blague à part, je suis tout à fait d'accord avec le commentaire de niconico ci-dessus. J'avais tendance à croire que ce genre de choses n'existait que dans les films jusqu'au révélation de Snowden: (je cite wikipedia):

                …la CIA a délibérément rendu ivre un banquier suisse, puis l'a encouragé à rentrer chez lui en voiture. Quand ce dernier a été arrêté, un agent de la CIA lui aurait alors offert son aide, puis l'aurait recruté. (…). Ces révélations sont arrivées à un moment particulier dans les relations États-Unis–Suisse, puisque le Conseil fédéral suisse tentait d'adopter une loi pour plus de transparence dans le secteur bancaire.

                • [^] # Re: Paranoïa

                  Posté par  . Évalué à 3.

                  Bon, l'exemple n'est pas top car les informaticiens en général ont déjà du mal à trouver une copine, alors de là à avoir une maîtresse… ;) (<- je suis informaticien)

                  T'inquiète, si un jour la CIA veut te faire chanter, une femme te tombera dans les bras sans que t'aies besoin de te donner du mal à la trouver.

            • [^] # Re: Paranoïa

              Posté par  . Évalué à 3.

              Il n'y en aura pas tant que la NSA ne se rendra pas compte que M. Dupont est gardien de nuit chez (au choix) Thales/EADS/Bull/la startup qui fait de l'ombre ou qu'il couche avec la femme d'un employé de l'embassade américaine.

        • [^] # Re: Paranoïa

          Posté par  . Évalué à 2.

          Perso je pense que certains peuvent être intéressés pour connaître les contacts et agenda détaillés de cadre sup de grosse boite ou dans la recherche… sans compter les mots de passe pour accéder aux emails et cloud…

          Le problème, c'est pas la technique…

    • [^] # Re: Paranoïa

      Posté par  (site web personnel) . Évalué à 10.

      Même si la borne a été installée comme ça, ça n'empêche pas forcément un petit malin de repasser derrière pour « l'améliorer » par la suite pour se constituer un botnet de manière plus difficile à tracer par exemple.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Paranoïa

      Posté par  . Évalué à 6.

      C'est pas des thèses complotistes. Il est connu que la NSA et tout un tas de societés comme Facebook ou Google utilisent tous les moyens possibles pour obtenir un maximum d'informations sur un maximum de gens. Par ce que ca peut toujours servir, ou se revendre cher.

      Si les gens prennent l'habitude de brancher leurs appareils en USB n'importe ou, il ne va pas falloir attendre longtemps avant que certains trouvent un moyen d'en profiter.

      Sans meme parler de la NSA, si Lenovo est capable de risquer sa réputation en livrant ses machines avec un spyware, j'ai pas trop de mal à imaginer un fabriquant d'abris bus faire pareil.

      • [^] # Re: Paranoïa

        Posté par  (site web personnel) . Évalué à 10.

        C'est encore pire, c'est pas un fabriquant d'abris bus. C'est JC Decaux, un marchand de pub

        La récupération des infos sur le smartphone pourrait donner un meilleur profil et afficher un pub mieux ciblé sur l'écran publicitaire a coté. Donc c'est clairement une possibilité.

        Idem avec le wifi qui sera intégré dans l'abris bus, ça va certainement être analysé

        • [^] # Re: Paranoïa

          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 10 mars 2015 à 20:37.

          Ne serait-ce que la sortie de lsusb des périphériques de la population des usagers de transport en commun peut se vendre cher.

          ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Paranoïa

      Posté par  . Évalué à 3.

      C'est pas comme si un système complet coûtait si cher que ça, surtout à l'échelle d'un abris-bus. Que sont les 20€ d'un raspberry pi face aux probables milliers d'euros d'un abri-bus?

      Je dis probable, parce qu'à mon avis ça doit avoir masse de contrôles pour pas que ça se casse la gueule, du verre assez solide pour encaisser un minimum les coups, etc etc. Ce qui doit bien valoir plus de 1999€ :)

      • [^] # Re: Paranoïa

        Posté par  . Évalué à 2.

        De mémoire, un abri-bus basique coûte 3000 € livraison incluse. Le genre basique moche.

        • [^] # Re: Paranoïa

          Posté par  . Évalué à 3.

          Bien ce que je pensais. Merci de la précision. Je n'ose imaginer le prix d'un machin avec pub déroulante et affichage de l'heure de passage des prochains bus.
          Ce qui me fait d'ailleurs penser… l'affichage… ça implique qu'il y ait un processeur pour décoder les trames réseau ça, non? Même pas besoin de l'ajouter, le rPI :)

          • [^] # Re: Paranoïa

            Posté par  . Évalué à 3.

            Avec pub déroulante = tout est payé par JCDecaux. Sauf certaines villes ou départements qui paient le mobilier puis qui louent à JCDecaux. Et sauf certains débiles qui paient le mobilier, puis qui paient l'entretien à JCDecaux. De mémoire le département paie 9000 € par an par abri bus :-) Mais sans publicité, ouf.

            Affichage des horaires, c'est dans les 2000 € le poteau. Aucune idée du prix de la solution globale (serveurs, logiciels, émetteur, etc).
            Ceux que je connais sont informés par voix hertzienne, donc pas de travaux particuliers à part l'adduction électrique (qui coûte tout de même facilement 500 à 1000 € pour une petite tranchées).

  • # Copie de fichier

    Posté par  . Évalué à 4.

    Le risque est aussi vrai dans l'autre sens : attention à ce que vous branchez sur vos propres ports USB

    Et pour ceux qui ne connaîtraient pas. Pour faire une copie de fichier, il y a le CirclLean qui permet de transférer les données d'une clef USB à l'autre tout en évitant de copier des fichiers problématiques (exécutables, fichier MS Office avec Macro…).

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Copie de fichier

      Posté par  (site web personnel) . Évalué à 7.

      Je trouverais hilarant de compromettre un tel périphèrique et d'infecter ensuite tout ce qui s'y connecterait.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Pas en province

    Posté par  . Évalué à 10.

    Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.

    Non, jamais vu ça de ma vie.

    La province, naturellement sécurisée

    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

  • # Commentaire supprimé

    Posté par  . Évalué à -10. Dernière modification le 09 mars 2015 à 14:38.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à -9.

      Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à -10.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Synthèse au 9 mars 2015 14h30

        Posté par  (site web personnel) . Évalué à 4.

        J'observe ce jour que l'URL que j'ai donnée (qui fonctionnait hier) renvoie vers une "page non trouvée" (*).

        Bonjour SamWang,

        pourquoi t'embêter à reposter une vidéo sur metatv.info dont tu n'es pas admin, parce qu'elle disparait, au lieu de finalement nous livrer le cahier des charges de Zind qui permettrait par une analyse sémantique distribuée d'autoinférer les mêmes méta-informations pour les restructurer (tout en les déstructurant d'un point de vue birelationnel…

        … oh et puis merde il est trop tard pour ces conneries.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à -10.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # USB=danger

    Posté par  . Évalué à 5.

    Je méfie toujours de l'USB depuis que j'ai lu cette dramatique mésaventure qui aurait pu arriver à chacun d'entre nous.

  • # USB Killer

    Posté par  (site web personnel) . Évalué à 2.

    si quelqu'un avait alimenté un port USB en 230V 50Hz

    C'est fait. http://kukuruku.co/hub/diy/usb-killer

  • # Ce qu'en dit l'ANSSI

    Posté par  . Évalué à 2.

  • # Pas ce problème sous Firefox OS

    Posté par  (site web personnel) . Évalué à 1.

    Dans les paramètres de Firefox OS il y a la possibilité d'activer/désactiver le partage des données sur l'appareil et/ou la carte mémoire par USB.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.