Mike Grover, connu sous le pseudo de _MG_, a réussi à faire tenir un appareil d’hacking dans un câble USB qui ressemble en tout point à celui d’Apple.
L’USB qui infiltre votre ordinateur
Branché à un ordinateur sous Mac, Windows ou Linux, le câble malicieux est reconnu comme un clavier / souris. Avec sa puce Wi-Fi intégrée, l’appareil autorise le pirate à exécuter des commandes et manipuler votre souris, tant qu’il est connecté sur le même réseau.
Indétectable pour la plupart des personnes, ce faux chargeur ou câble USB se fait passer pour un HID (Dispositif d’interface humaine) auprès de l’ordinateur de la cible, ce qui permet au pirate de continuer à agir même si votre appareil est verrouillé.
Quelles attaques permet-il de réaliser ?
Imaginez-vous devant votre ordinateur portable, au travail ou à la bibliothèque de votre université. Vous avez besoin de transférer des photos de votre téléphone à votre ordinateur, mais vous avez oublié votre câble USB.
Soit vous trouvez un câble sur l’un des bureaux annexes, soit vous en demandez un à vos collaborateurs.
Vous ne vous en doutez pas, mais vous venez d’emprunter le câble USB qui vous était destiné.
Vous êtes ainsi devenu la cible d’un collègue qui veut voler vos travaux, un étudiant qui souhaite accéder à vos photos privés …
You like wifi in your malicious USB cables?
The O•MG cable
(Offensive MG kit)https://t.co/Pkv9pQrmHtThis was a fun way to pick up a bunch of new skills.
Not possible without help from: @d3d0c3d, @cnlohr, @IanColdwater, @hook_s3c, @exploit_agency #OMGCable pic.twitter.com/isQfMKHYQR
— _MG_ (@_MG_) February 10, 2019
Dans cette vidéo d’exemple, Mike Grover lance une page de phishing sur l’ordinateur de la cible. Celle-ci pensera alors qu’elle doit reconnecter son compte Google, alors que le pirate souhaite simplement récupérer ses identifiants !
À la portée de n’importe quel hacker…
Après des mois passés à perfectionner leur produit, MG et son équipe lance la vente en ligne à grande échelle. Vous pouvez maintenant être l’heureux propriétaire de l’O.MG Cable via le site Hak5 pour la somme conséquente de 130$.
Même s’il est destiné majoritairement aux penetration tester, ce câble ou un équivalent pourrait un jour vous être « prêté ».