On vous a-t-on dit de ne pas charger votre téléphone à l’aéroport? Beaucoup d’entre nous ont, par des agences gouvernementales majeures comme le FBI, pas moins. La conversation est de retour dans les nouvelles, de manière confuse, à partir d’un article de mars sur la page Facebook officielle de la TSA. Comme le FBI, la TSA nous avertit d’éviter à la fois les ports USB et les réseaux WiFi dans les lieux publics, comme les aéroports – et cela ne semble pas que beaucoup de choses ont changé de leur point de vue dans les quatre mois que ils ont affiché.
Le message lui-même, à mon humble avis, est bizarre. Il se lit moins comme un PSA d’une agence de sécurité officielle, et plus comme une publication de médias sociaux tapée par un stagiaire d’été. Le plus gros drapeau rouge pour moi est cette phrase, qui se lit Je voudrais penser qu’une agence comme la TSA n’aurait pas besoin de se dire à quel point une menace de sécurité supposée est appelée.
Mais ignorant le manque d’autorité dans le style du poteau, les avertissements eux-mêmes sont un peu étranges. D’où je suis assis, il y a peu de raisons légitimes pour susciter la panique sur ces deux problèmes de sécurité. Regardons chacun individuellement:
Les ports USB publics sont-ils sûrs?
L’inquiétude ici est que les mauvais acteurs peuvent infecter ces ports accessibles au public avec des logiciels malveillants, donc lorsque vous vous branchez, le malware s’installe sur votre appareil. C’est ce que l’on appelle la prise de jus ou la prise de port.
Ce n’est pas que la prise de jus semble impossible: les logiciels malveillants peuvent être livrés de plusieurs façons. C’est plus le fait qu’il n’y ait pas eu de cas connu de ce qui se passe dans la nature – à l’égard d’un exemple éducatif à DefCon 2011. Le FBI et la TSA pourraient-ils être conscients des attaques que le public n’est pas? Bien sûr. Mais je ne suis pas sûr que les ports USB de l’aéroport soient des épandeurs de logiciels malveillants massifs mais silencieux. Cela obligerait les mauvais acteurs à acheter des billets d’avion, à entrer dans la zone sécurisée de chaque aéroport et à prendre le temps d’infecter chaque port. Encore une fois, possible, mais, à mon avis, peu probable. Pourquoi faire cela alors qu’il est beaucoup plus facile de inciter les utilisateurs à installer des logiciels malveillants à partir de sites Web frauduleux?
Les mauvais acteurs devraient également faire face aux câbles USB qui ne facturent que, sans support pour le transfert de données. Peut-être que votre câble permet le transfert de données, mais peut-être que quelqu’un d’autre ne le fait pas. Même si le vôtre le fait, de nombreux smartphones modernes vous obligent à accorder la permission d’accéder à l’appareil USB avant de pouvoir lancer un transfert de données. Sans cette autorisation, la connexion ne facturera que votre appareil. S’il est vrai que les chercheurs ont trouvé des moyens de contourner ces défenses, il y a trop de variables pour que ce soit une méthode d’installation de logiciels malveillants efficace, et si j’étais un pirate, je ne pense pas que le jus valait la peine.
Cela étant dit, il y a peut-être des ports USB manipulés dans les aéroports, et les cas de Juice Jacking du FBI et de la TSA sont conscients, mais ne divulguent pas au public. Vous avez quelques options si vous devez facturer à l’aéroport en toute sécurité.
La première consiste à utiliser un préservatif USB « »: « Les préservatifs USB transforment essentiellement n’importe quel câble en câble de charge uniquement, en bloquant toutes les capacités de transfert de données. Si vous avez un câble USB qui autrement installerait joyeusement les logiciels malveillants sur votre appareil, un préservatif USB bloquera cette activité, afin que vous puissiez charger en toute sécurité et en toute sécurité. Mais vous n’avez pas besoin d’un de ces appareils pour charger vos appareils en toute sécurité à l’aéroport: utilisez simplement les sorties murales. Ceux-ci ne présentent aucun risque de prise de jus, car il n’y a pas de capacités de transfert de données ici. Branchez simplement votre adaptateur d’alimentation dans la prise comme vous le feriez normalement et chargez la tranquillité d’esprit.
Le WiFi public est-il sûr?
Le deuxième avertissement conseille aux voyageurs de ne pas utiliser le WiFi public gratuit, en particulier pour les achats en ligne ou de saisir des informations sensibles. C’est un bon conseil, pour 2015. À l’époque, la plupart des sites Web n’étaient pas cryptés, ce qui signifiait que votre trafic Internet était exposé à quiconque savait y accéder. C’est une chose si vous avez vérifié les titres du New York Times, ou si vous avez regardé une vidéo YouTube: les pirates pourraient voir ce trafic, mais il n’y avait pas grand-chose à voir avec cela à part violer votre vie privée. Mais si vous avez entré des informations sensibles sur les sites, comme les mots de passe ou les sites accessibles avec des données privées, comme le site Web de votre banque, vous avez une situation de sécurité. C’est pourquoi le (bon) conseil d’ancien était d’éviter d’utiliser le WiFi public, en particulier pour ces types d’activités.
Depuis 2018, cependant, la grande majorité des sites Web que vous visitez sont cryptés. Cela signifie même si vous utilisez le WiFi public sans cryptage, le trafic Web réel est protégé. Les pirates ne pourront pas voir les informations que vous entrez sur ces sites, tant qu’elles sont effectivement cryptées.
Donc, si vous utilisez le WiFi public – en particulier le WiFi public sans un certain type de protection par mot de passe – il suffit de remédier au site Web lui-même crypté avant de vous connecter.
Maintenant, vous voudrez toujours vous assurer que le site Web que vous visitez est non seulement crypté, mais légitime. Les sites de phishing peuvent également utiliser HTTPS, alors assurez-vous que vous visitez réellement le site Web de votre banque avant de brancher vos informations. Ce conseil, bien sûr, s’applique si vous utilisez le WiFi public ou votre WiFi à domicile, de toute façon. Vous pouvez également protéger encore plus votre navigation sur le Web avec un VPN, ce qui réduit votre trafic pour le rendre beaucoup plus difficile à vous suivre. Vous pourriez vous connecter via l’aéroport de Denver, mais votre trafic pourrait sembler provenir du Japon, du Panama ou de l’Islande.
