« OMG Cable » : le cordon Lightning qui aspire vos données grâce à sa puce cachée
Il n’a pas l’air bien méchant… et pourtant. Conçu par les membres de « MG », une équipe de chercheurs en sécurité, l’OMG Cable est un cordon Lightning trafiqué dont l’apparence ne diffère en rien d’un câble officiel. À l’intérieur se cache pourtant une puce qui lui permet de voler des données et de les transmettre à un hacker en créant un hotspot Wi-Fi auquel le pirate peut se connecter à l’aide d’une application. En étant utilisé pour raccorder un clavier à un Mac, un iPad ou un iPhone, il peut notamment servir pour enregistrer les frappes au clavier… et ainsi transmettre identifiants et mots de passe, entre autres.
MacRumors rapporte que ce câble dispose aussi de fonctions de géorepérage qui permettent notamment d'activer, ou au contraire de bloquer, les payloads (le composant de l'attaque qui permet de causer préjudice à la victime) en fonction de la localisation. Un moyen pour le pirate de gagner en discrétion mais aussi d'éviter de collecter des données sur d'autres appareils que celui visé.
Un câble nuisible… très difficile à différencier d’un vrai
Si l’OMG Cable est aussi redoutable, c’est parce que sa puce malveillante intégrée ne change pas la physionomie du cordon. Ce dernier conserve en effet la même taille et la même composition qu’un câble Lightning légitime. Il est ainsi très difficile de faire la différence avec un câble officiel.
Comme le souligne MacRumors, la puce implantée occupe enfin la moitié de la coque en plastique d’un connecteur USB-C seulement, ce qui permet au câble de continuer à fonctionner normalement. Difficile donc pour l’utilisateur de suspecter quoi que ce soit.
La finalité de ce câble, qui est maintenant produit en plusieurs versions par Hak5, enseigne spécialisée dans la sécurité, est de servir d’outil pour des tests de pénétration. In fine, il devrait donc permettre de renforcer la sécurité des appareils ciblés.