IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un chercheur en sécurité présente un câble Lightning avec une puce cachée pour voler les mots de passe.


Sujet :

Sécurité

  1. #1
    Chroniqueuse Actualités

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    mars 2020
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : mars 2020
    Messages : 320
    Points : 5 460
    Points
    5 460
    Par défaut Un chercheur en sécurité présente un câble Lightning avec une puce cachée pour voler les mots de passe.
    Un chercheur en sécurité présente un câble Lightning avec une puce dissimulée qui enregistre les frappes sur le clavier
    et peut obtenir les mots de passe ou d'autres données

    Il ressemble à un câble Lightning, il fonctionne comme tel et il peut être utilisé pour connecter un clavier à un Mac. Mais il s'agit en fait d'un câble OMG. Une fois le câble OMG branché sur le Mac, il crée un réseau Wi-Fi auquel le pirate peut se connecter. Et avec l'aide d'une interface web, celui ci peut enregistrer discrètement les frappes sur le clavier de sa victime. Et donc, potentiellement obtenir des identifiants et mots de passe. Si le hacker doit être physiquement proche de la personne à espionner, ce nouveau câble fonctionne tout de même sur une distance d'1,6 km.

    Nom : Screenshot_2021-09-02 U S DOJ preparing to sue Google over digital ads business – Recherche Goog.png
Affichages : 14537
Taille : 826,8 Ko
    Le "OMG Cable" comparé au câble Lightning USB d'Apple


    Il s'agit de la nouvelle version d'une série d'outils de test de pénétration conçus par le chercheur en sécurité connu sous le nom de MG. Lors de la conférence annuelle sur le piratage en 2019, MG a présenté une version modifiée du câble pour iPhones d'Apple qui est capable de détourner les ordinateurs d'utilisateurs sans méfiance et de donner au pirate un accès à distance à l'appareil avec toutes les informations sensibles stockées dessus. Ce câble baptisé OMG câble ressemble à un câble original et fonctionne exactement comme tel, si bien que même votre ordinateur ne remarquera aucune différence. Peu de temps après, MG a déclaré qu'il avait réussi à faire passer les câbles en production de masse, et le fournisseur de cybersécurité Hak5 a commencé à vendre les câbles.

    Mais les câbles plus récents se déclinent en de nouvelles variantes physiques, notamment Lightning à USB-C et incluent davantage de capacités avec lesquelles les hackers peuvent jouer. Beaucoup lui avaient affirmé que l'espace était trop restreint dans la gaine de plastique protégeant le connecteur USB-C, et c'est pourquoi il a voulu leur donner tort. Il a mis au point un mouchard qui mesure environ la moitié de la longueur de la gaine. « Il y avait des gens qui disaient que les câbles de type C étaient à l'abri de ce type d'implant parce qu'il n'y a pas assez d'espace. Donc, clairement, je devais prouver que c'était faux », a déclaré MG.


    Les OMG Cables, comme on les appelle, fonctionnent en créant eux-mêmes un resea Wi-Fi auquel un pirate peut se connecter depuis son propre appareil. À partir de là, une interface dans un navigateur Web ordinaire permet au pirate de commencer à enregistrer les frappes au clavier. L'implant malveillant lui-même occupe environ la moitié de la longueur de la coque en plastique, selon MG.

    MG précise que les nouveaux câbles sont désormais dotés de fonctions de géorepérage, ce qui permet au pirate de bloquer le fonctionnement du composant espion en fonction de sa localisation physique. « Cela va de pair avec la fonction d'autodestruction si un câble OMG sort du cadre de votre engagement et que vous ne voulez pas que vos données utiles fuient ou soient accidentellement exécutées contre des ordinateurs aléatoires », a-t-il déclaré.

    Les câbles ont été testés que dans des endroits relativement proches, mais MG a déclaré qu'ils avaient amélioré la portée des câbles. « Nous l'avons testé dans le centre-ville d'Oakland et avons pu déclencher des charges utiles à plus d'un kilomètre », a-t-il ajouté. Selon lui, les câbles de type C permettent de mener le même type d'attaques contre les smartphones et les tablettes. Parmi les diverses autres améliorations, citons la possibilité de modifier la disposition des touches d'un clavier de saisie, la possibilité de falsifier l'identité de périphériques USB spécifiques, par exemple en prétendant être un périphérique qui exploite une vulnérabilité particulière sur un système. Le jeu de câbles que MG a fourni à des fins de test comprenait également un câble noir USB-C vers USB-C, qui serait conçu pour imiter les câbles liés à différents produits non-Apple.

    Nom : Screenshot_2021-09-03 This Seemingly Normal Lightning Cable Will Leak Everything You Type.png
Affichages : 3382
Taille : 134,0 Ko
    Une vue aux rayons X de la puce implantée à l'intérieur de l'extrémité USB-C d'un câble OMG


    La pandémie en cours a également compliqué le processus de fabrication des câbles, explique MG. « La pandémie a rendu un processus déjà difficile beaucoup plus difficile avec la pénurie de puces. Si un composant individuel est en rupture de stock, il est pratiquement impossible de trouver un remplacement lorsque des fractions de millimètres sont importantes. Je dois donc attendre plus de 12 mois pour que certaines pièces soient en stock. Nous perdons facilement 10 000 dollars en câbles lorsque nous testons un changement de processus. Pendant la pénurie de puces, il est difficile de ne pas regarder une telle perte et de voir tout un tas de composants morts qui ne peuvent pas être remplacés pendant plus d'un an », a déclaré MG.

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Comment la Chine a retourné le piratage d'un iPhone primé lors d'un concours contre les Ouïghours. Pékin utiliserait les vulnérabilités zero-days découvertes lors de concours à ses avantages

    Le criminel informatique typique serait jeune, de sexe masculin et peu qualifié, d'après le chercheur James Crawford

    Confusion de dépendance : un chercheur a piraté Apple, Microsoft, Netflix et des dizaines d'autres entreprises, dans le cadre d'une nouvelle attaque qui ne nécessite aucune action de la victime

    « Les gens doivent comprendre qu'ils ne sont pas en sécurité simplement parce qu'ils utilisent un Mac », pour la première fois les menaces adware détectées sur Mac sont supérieures à celles sur Windows
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    1 156
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 156
    Points : 4 222
    Points
    4 222
    Par défaut
    Moi j'aurais fait un autre titre pour la news : "Un chercheur en sécurité paranoïaque présente un câble Lightning avec une puce dissimulée ..."

    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

  3. #3
    Membre du Club
    Homme Profil pro
    Webmarketer
    Inscrit en
    août 2021
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Canada

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : août 2021
    Messages : 23
    Points : 40
    Points
    40
    Par défaut
    Je suppose que je devrais payer les 20$ à apple au lieu des 7$ à un vendeur ebay pour garder mes infos en sécurité ? ça craint !

  4. #4
    Membre extrêmement actif
    Femme Profil pro
    Webmarketer
    Inscrit en
    janvier 2021
    Messages
    217
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : janvier 2021
    Messages : 217
    Points : 441
    Points
    441
    Par défaut
    C'est juste un keylogger USB Keelog dans un meilleur emballage. J'en ai acheté un il y a plus de 10 ans.

    La plupart des gens ne comprennent pas comment fonctionne ce truc. Tout ce qu'il fait, c'est enregistrer les frappes sur un clavier connecté. Si vous n'utilisez pas un clavier (ou un autre périphérique d'entrée équipé d'un dispositif d'éclairage), il agira comme un câble de chargement USB car il n'enregistrera pas votre texte sur votre iPhone. En fait, il récupère les données des claviers, mais pas celles de l'iPhone ou de l'iPadt.

    Il est intéressant parce qu'il a un petit microcontrôleur avec wifi intégré, donc vous n'avez pas besoin de prendre votre keylogger physique, mais si vous voulez cela, vous pouvez acheter les Airdrives de Keelog. Même chose, marque différente, et pas seulement un câble lightning - peut être utilisé avec n'importe quel dispositif usb...

  5. #5
    Membre du Club
    Homme Profil pro
    Webmarketer
    Inscrit en
    août 2021
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Canada

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : août 2021
    Messages : 23
    Points : 40
    Points
    40
    Par défaut
    Il y a donc beaucoup de craintes et de suppositions qui sont lancées ici. Pour la fonction d'enregistrement des touches, vous devez utiliser le câble pour relier un clavier à un appareil afin de pouvoir renifler le trafic. Les claviers sans fil ne sont pas concernés. Les claviers à l'écran ne sont pas concernés. Les appareils iOS verrouillent le port USB par défaut (l'invite "déverrouillez votre téléphone pour utiliser le périphérique connecté" que vous recevez lorsque vous vous connectez à une voiture, etc.

  6. #6
    Membre régulier
    Homme Profil pro
    Consultant informatique
    Inscrit en
    février 2014
    Messages
    53
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2014
    Messages : 53
    Points : 120
    Points
    120
    Par défaut
    à propos des clavier sans fil, un autre chercheur (paranoïaque ?) avait présenté un transfo (mural) équipé Bluetooth, qui capturait ce qui était envoyé par le clavier et en avait fait la démonstration.
    Ben oui, s'il y a protection c'est uniquement en réception (contre les claviers non reconnus), jamais dans l'autre sens. Pour info les téléphones c'est pareil, un téléphone ne reçoit normalement que les appels qui lui sont destinés, mais parce qu'il a été conçu pour ça. En réalité il reçoit toutes les communication alentour et les ignore. Sauf modification de l'engin. La communication est d'ailleurs cryptée, mais pas de manière terrible sur les anciens.
    Citons aussi les clés USB dans lequel le malware a été conçu pour infecter le bios, et donc est indétectable (aucun fichier sur la clé) mais en plus s'installe automatiquement.

Discussions similaires

  1. Réponses: 4
    Dernier message: 22/11/2017, 03h26
  2. Réponses: 16
    Dernier message: 24/08/2017, 01h17
  3. Réponses: 0
    Dernier message: 18/06/2015, 00h04
  4. [Sécurité ]Paramètres "Afficher les mots de passe"
    Par T3rm1nat0r dans le forum Firefox
    Réponses: 2
    Dernier message: 20/10/2013, 22h05
  5. [Sécurité] Question sur les mots de passes
    Par wallawalla dans le forum Langage
    Réponses: 4
    Dernier message: 02/04/2007, 17h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo