Le métro de Madrid a eu une idée adorable : installer des prises USB dans les wagons pour que vous puissiez recharger votre téléphone pendant le trajet. Le panneau bleu annonce fièrement « Este tren es tu cargador » – ce train est votre chargeur. Sympa, non ?
Votre RSSI vient de renverser son café.
Parce que brancher son téléphone sur un port USB inconnu, c’est un peu comme accepter une clé USB trouvée sur un parking. On sait tous que c’est une mauvaise idée, et pourtant… la batterie à 4% a un pouvoir de persuasion redoutable.
C’est quoi le juice jacking, exactement ?
Le juice jacking, c’est l’attaque qui exploite une particularité technique que beaucoup ignorent : un câble USB transporte à la fois du courant ET des données. Quand vous branchez votre téléphone sur une borne publique compromise, vous ouvrez potentiellement une autoroute bidirectionnelle avec votre appareil.
Un attaquant qui a modifié la borne peut, selon le niveau de sophistication, extraire vos contacts, photos, fichiers, tokens d’authentification, ou carrément installer un malware en arrière-plan pendant que vous regardez défiler les stations. Le tout en silence. En moins de 3 minutes. Le temps d’aller de Sol à Gran Via.
Le sujet est suffisamment sérieux pour que l’FCC (Federal Communications Commission) et le FBI aient tous les deux publié des alertes officielles. En France, l’ANSSI recommande dans ses règles d’hygiène informatique de ne jamais utiliser de bornes de recharge publiques sans précautions.
Mais le métro de Madrid c’est officiel, non ?
Oui. Et c’est justement là que c’est intéressant.
Une infrastructure officielle compromise est bien plus dangereuse qu’une fausse borne posée dans un couloir louche. Pourquoi ? Parce que vous baissez la garde. Vous faites confiance au logo Metro. Vous ne regardez pas deux fois le port USB.
Or la chaîne de sécurité d’un réseau de transport public sur la maintenance de chaque prise USB de chaque wagon, c’est… disons que c’est pas leur priorité numéro un. Entre assurer que les rames roulent et auditer les ports USB, le choix est vite fait. Et ça, un attaquant patient le sait très bien.
L’OWASP Mobile Top 10 documente ce type de vecteur d’attaque parmi les risques les plus courants sur mobile. Ce n’est pas de la théorie.
Les bons réflexes, sans devenir paranoïaque
Pas question de vous dire de ne jamais recharger en dehors de chez vous. On vit dans le monde réel. Voici ce qui marche vraiment :
Le câble charge seule : il existe des câbles USB qui ne transmettent que le courant, pas les données. Ils coûtent 5 euros. Votre DSI vous remerciera.
Le condom USB : oui, ça s’appelle comme ça. C’est un petit adaptateur qui bloquephysiquement les broches de données. Efficace, discret, facile à glisser dans un sac. Cybermalveillance.gouv.fr recommande ce type de précaution dans ses fiches réflexes.
La batterie externe : la solution la plus simple et la plus propre. Vous chargez depuis votre propre source, point final. Aucune interaction avec l’infrastructure publique.
Le mode « Confiance » : sur iOS et Android, quand vous branchez un câble sur un nouveau port, votre téléphone demande si vous faites confiance à l’appareil. La bonne réponse dans un métro, c’est non.
Ce n’est pas de la paranoïa, c’est de l’hygiène numérique
Le métro de Madrid a bien fait d’installer ces prises. C’est un vrai service. Mais entre une bonne intention et une infrastructure auditée régulièrement côté sécurité, il y a un gouffre que personne ne mesure vraiment.
Alors profitez du trajet. Admirez l’architecture des stations. Mais gardez votre câble charge-seule dans la poche.
Votre téléphone vous remerciera. Vos données aussi.