« OMG Cable » : le cordon Lightning qui aspire vos données grâce à sa puce cachée

The evil... within

 

Des chercheurs en sécurité ont fabriqué un cordon Lightning d'apparence parfaitement anodine, mais qui abrite pourtant une puce cachée des plus malveillantes. Elle permet de voler des données pour les transmettre à distance à un tiers.

L’OMG Cable est impossible à distinguer d’un câble Lightning officiel de prime abord

L’OMG Cable est impossible à distinguer d’un câble Lightning officiel de prime abord // Source : Motherboard

Il n’a pas l’air bien méchant… et pourtant. Conçu par les membres de « MG », une équipe de chercheurs en sécurité, l’OMG Cable est un cordon Lightning trafiqué dont l’apparence ne diffère en rien d’un câble officiel. À l’intérieur se cache pourtant une puce qui lui permet de voler des données et de les transmettre à un hacker en créant un hotspot Wi-Fi auquel le pirate peut se connecter à l’aide d’une application. En étant utilisé pour raccorder un clavier à un Mac, un iPad ou un iPhone, il peut notamment servir pour enregistrer les frappes au clavier… et ainsi transmettre identifiants et mots de passe, entre autres.

MacRumors rapporte que ce câble dispose aussi de fonctions de géorepérage qui permettent notamment d’activer, ou au contraire de bloquer, les payloads (le composant de l’attaque qui permet de causer préjudice à la victime) en fonction de la localisation. Un moyen pour le pirate de gagner en discrétion mais aussi d’éviter de collecter des données sur d’autres appareils que celui visé.

Un câble nuisible… très difficile à différencier d’un vrai

Si l’OMG Cable est aussi redoutable, c’est parce que sa puce malveillante intégrée ne change pas la physionomie du cordon. Ce dernier conserve en effet la même taille et la même composition qu’un câble Lightning légitime. Il est ainsi très difficile de faire la différence avec un câble officiel.

Comme le souligne MacRumors, la puce implantée occupe enfin la moitié de la coque en plastique d’un connecteur USB-C seulement, ce qui permet au câble de continuer à fonctionner normalement. Difficile donc pour l’utilisateur de suspecter quoi que ce soit.

« OMG Cable » Lightning – USB-C scanné aux rayons X pour dévoiler la puce malveillante

« OMG Cable » Lightning – USB-C scanné aux rayons X pour dévoiler la puce malveillante // Source : MG

La finalité de ce câble, qui est maintenant produit en plusieurs versions par Hak5, enseigne spécialisée dans la sécurité, est de servir d’outil pour des tests de pénétration. In fine, il devrait donc permettre de renforcer la sécurité des appareils ciblés.

Les derniers articles