Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.
Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?
NdM: l'article original de matlink a été enrichi en modération.
Un risque pour vos données ?
Pour certains, cela paraît être une bonne idée. En réalité, cela pose un gros problème de sécurité : et si ces bornes copiaient les données présentes sur les appareils que l'on y connecte ? Car il est facile d'écrire un script qui détecte la connexion sur un port USB et qui copie l'intégralité des données qui s'y trouvent. Ces données VOUS appartiennent et vous êtes seuls juges de ce qu'elles doivent devenir. Soyez donc conscients que cela est possible, et que si vous branchez votre téléphone sur ces bornes, alors vous prenez le risque de vous les faire copier !
On peut aussi spéculer en disant que ces données totalement personnelles pourraient être revendues etc.
C'est moins cool, d'un coup !
Un moyen prophylactique ?
Pour parer cela il est possible d'acheter des câbles de chargement qui ne font que cela, ou encore de les faire soi-même en coupant les fils adéquats (deux fils pour les données, deux pour l'alimentation). On peut ainsi bénéficier des bornes "publiques" de rechargement, service offert par des aéroports mais aussi des bus, etc., sans pour autant craindre une quelconque copie de données.
Évidemment ça ne résout pas les cas où vous voulez vraiment échanger des données, par exemple avec des clés USB fixées dans les murs par des inconnus.
Généralisation
Le risque est aussi vrai dans l'autre sens : attention à ce que vous branchez sur vos propres ports USB (exemples un et deux). C'est aussi valable pour l'abribus qui fournit de l'USB à des périphériques inconnus — mais aussi parfois du NFC et du wifi (donc il y a probablement un ordinateur derrière tout ça) — et dont on peut espérer que sur son port USB les deux fils de données sont coupés.
Dis autrement, soit les périphériques à la prise USB mâle et à la prise USB femelle se font confiance (*), soit chacun de son côté prend ses précautions pour ne laisser passer que l'alimentation (ou que des opérations autorisées sur les données).
(*) on notera qu'un peu de confiance est toujours nécessaire, par exemple si quelqu'un avait alimenté un port USB en 230V 50Hz, cela grillerait le périphérique connecté et/ou électrocuterait son propriétaire.
Aller plus loin
- Article original (967 clics)
- Article Gizmodo : Des ports USB dans les futurs abribus de Paris (347 clics)
# rien
Posté par Artefact2 (site web personnel) . Évalué à -3. Dernière modification le 08 mars 2015 à 20:18.
never mind– je n'avais pas lu tout l'article
# USB Condom
Posté par Maxime (site web personnel) . Évalué à 10.
Désolé c'est vieux mais bon… http://int3.cc/products/usbcondoms
[^] # Re: USB Condom
Posté par jihele . Évalué à 6.
Pourquoi tous ces composants (résistances, etc.) s'il suffirait de router uniquement deux fils sur les quatre ?
[^] # Re: USB Condom
Posté par jben . Évalué à 3.
Probablement une régulation de la tension d'alim. Perso tant qu'à faire un PCB, autant rajouter quelques composants pour s'assurer que le machin n'est pas en train d'injecter du 120VDC.
[^] # Re: USB Condom
Posté par jjl (site web personnel) . Évalué à 9.
A mon avis, c'est plutôt un pont diviseur pour amener les broches D+ et D- (données) à une bonne valeur. En tout cas sur le schéma, c'est ce que je comprend.
De mémoire, D+ doit avoir un pull-down et D- un pull-up au 3.3V
(Oui, en USB, on alimente en 5V mais on communique en 3.3V)
En plus certains devices nécessitent que ces broches soient à un certain niveau pour être chargés (typiquement les iphones, mais il doit y en avoir d'autres)
[^] # Re: USB Condom
Posté par cedric . Évalué à 7.
Il y a aussi des fournisseurs d'alimentation USB qui donnent un cable incapable de faire du transport de donnee. Comme quoi ca peut etre utile des fois de faire le rat pour deux bouts de cuivre…
[^] # Re: USB Condom
Posté par Thomas Debesse (site web personnel) . Évalué à 5. Dernière modification le 10 mars 2015 à 21:24.
Par contre quand je branche un téléphone non-iphone sur un chargeur usb d’iphone, le téléphone me demande si je dois mettre le téléphone en mass-storage, en mtp ou partager le modem. Ils ont bien réussi à placer un ordinateur dans leur câble vidéo, alors pourquoi pas dans le chargeur ? Je n’ai jamais démonté ce chargeur pour voir ce qu’il y avait dedans, mais même s’il n’y avait rien de grave, l’exemple du câble vidéo montre que c’est faisable…
ce commentaire est sous licence cc by 4 et précédentes
# plus simple
Posté par zurvan . Évalué à 10.
dans l'article sur la bidouille on lit ceci :
je pense que c'est simplement un simple port USB relié à du 5V, ça coûtera quand même sensiblement moins cher que d'installer un mini PC à chaque fois.
Enfin bon, le principe de précaution n'est pas forcément une mauvaise chose, en tout cas pour se bricoler un câble qui fait simplement recharge, le plus rapide est de couper un câble USB existant, et de raccorder uniquement le fil rouge sur le fil rouge, le fil noir sur le fil noir (avec un domino si on n'a pas de fer à souder).
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: plus simple
Posté par claudex . Évalué à 10.
Le fil rouge sur le bouton blanc, le fil vert sur le bouton bleu.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: plus simple
Posté par BAud (site web personnel) . Évalué à 10.
si je tenais le con qu'a fait sauter le pont !
[^] # Re: plus simple
Posté par Obsidian . Évalué à 8. Dernière modification le 09 mars 2015 à 12:59.
Le pont diviseur, en l'occurrence… ^ ^
[^] # Re: plus simple
Posté par FrogX . Évalué à 2.
ça existe depuis belle lurette les cables usb sans la partie data. Tout kit d'entrée de gamme de chargeur voiture utilise ce genre de câble pour trois franc six sous ….
[^] # Re: plus simple
Posté par 2PetitsVerres . Évalué à 10.
Je me demande si ce n'est pas encore plus rapide de couper uniquement les deux fils de data, plutôt que de couper les quatre puis d'en souder deux.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: plus simple
Posté par zurvan . Évalué à 1.
oui, j'y ai pensé aussi, mais pour avoir déjà bricolé des câbles usb, c'est tellement fin que ce n'est pas évident d'épargner les bons fils, enfin, ça dépend de ta précision :)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
# De la part de l'auteur du script
Posté par tuxicoman (site web personnel) . Évalué à 8.
Lorsque j'ai créé ce script, les bornes de bus avec port USB n'existaient pas.
J'étais plutôt intrigué par les boites noires que constituent les pédalos pour recharger son téléphone, qu'on trouve dans les aéroports.(Vraiment débile, il y en a qui croient se "verdir" une demi heure avant de faire péter le kérozène ?)
Il y a aussi le PC du bureau sur lequel on branche son smartphone pour le recharger la journée et duquel l'admin pourrait également tranquillement piocher dans vos données.
Bref, Android manque d'un popup avec opt-in pour activer la communication de donnée lorsqu'on le branche en USB. Dans le doute je désactive toujours le partage de données par USB.
Pour info le script cité dans l'article pompe tout ce qui est en UMS (clés USB, anciens smartphones android) et MTP(baladeurs audio, certains appareils photos, nouveaux smartphones android) et il y a même un .deb. Enjoy !
[^] # Re: De la part de l'auteur du script
Posté par Anonyme . Évalué à 0.
Hmmmmmm mais ce pop-up existe, au moins sur ma 4.1. Par contre il utilise le paramétrage dernièrement utilisé pour la connexion courante… ça c’est laid.
Tosson Android c’est laid tout court.
[^] # Re: De la part de l'auteur du script
Posté par Renault (site web personnel) . Évalué à 6.
Il y a ça dans les gares et d'autres lieux publics, donc l'intérêt « écologique » n'est pas totalement ridicule. Puis je trouve le concept intéressant. Déjà d'un point de vue éducatif, l'utilisateur peut mesurer l'effort nécessaire pour gagner quelques pourcentages de batteries. De plus ça permet de se réchauffer (dans les gares parisiennes :)) ou de se dépenser un peu tout en permettant la recharge de son appareil.
J'ai pourtant déjà vu ça sur des Android d'usine. Le Jolla le propose aussi.
Est-ce que ces options à la demande sont réellement efficaces ?
[^] # Re: De la part de l'auteur du script
Posté par dj_ (site web personnel) . Évalué à 1.
oui ça permet aux gens de s'occuper de manière "utile" en attendant les trains, puis vu les retards y a moyen de faire ses 30 minutes de sport par jour
C'est ce que j'ai aussi avec ma liseuse sony PRS-T1 (un android modifié), quand je le branche sur le pc il demande explicitement si je veux activer le transfert de donnée
[^] # Re: De la part de l'auteur du script
Posté par pouleta . Évalué à 2.
perso, quand je branche mon android sans activer le stockage usb :
$> ls /dev/sdb*
/dev/sdb
Du coup je crois que c'est juste de la merde****
[^] # Re: De la part de l'auteur du script
Posté par Trollgouin . Évalué à 1.
Sur le jolla, c'est fait de la façon suivante.
Trois mode au choix à chaque connexion de l'USB :
- développeur (usb-net + ssh ouvert)
- Connexion PC (usb-storage + MTP pour l'accès aux données)
- Charge seulement (1)
Ça peut se choisir par défaut (pratique en usage itinérant ou si on ne connecte en filaire que pour recharger).
(1) mais c'est un peu étrange: le noyau voit quand même arriver un périphérique usb storage mais MTP ne reconnaît pas le périphérique.
"bus: 1, device: 75 was not an MTP device"
Du coup, on ne peut rien en faire.
# Sinon
Posté par gnumdk (site web personnel) . Évalué à 5.
Il y'a plus simple, en tout cas sous Android, on laisse son téléphone verrouillé et on est sur que personne n’accédera au données… En effet, il faut déverrouillé le téléphone pour débloquer l'accès MTP…
[^] # Re: Sinon
Posté par Kerro . Évalué à 7.
Pas sur le mien.
Un téléphone avec Android 4.0.3 acheté il y a 2 ans je crois.
Je le branche sur mon PC, Linux m'affiche un pop-up pour savoir si je veux ouvrir le navigateur de fichiers, et j'ai accès à tout.
C'est peut-être corrigé sur les nouvelles versions.
[^] # Re: Sinon
Posté par gnumdk (site web personnel) . Évalué à 2.
Cyanogenmod… Peut être lui
[^] # Re: Sinon
Posté par Zenitram (site web personnel) . Évalué à 2.
Pareil chez moi.
Mais quand je suis à l'arrêt de bus, je dévérouille souvent le téléphone pour lire l'actu en attendant le bus. du coup, ben… C'est déverrouillé aussi pour le MTP.
Il ne me semble pas que ce soit 2 choses séparées, une fois dévérouillé, c'est pour l'écran et pour l'USB.
PS : je m'étais dit la même chose pendant un moment, jusqu'à tilter que le téléphone, ben je l'utilise aussi.
# PortPilot : une autre solution
Posté par Teutates (site web personnel) . Évalué à 9.
Il existe une protection intermédiaire. C'est le projet PortPilot qui a bénéficié d'un financement participatif. En bref, cela se présente sous la forme d'une banale clé USB qu'on branche sur le port USB sachant qu'on va ensuite brancher notre téléphone sur cette clé PortPilot. PortPilot bloque toute transmission de données et donne également des indications techniques sur le port USB utilisé (puissance, présence d'un PC)
Pour des infos complémentaire en français, voir Korben :
http://korben.info/portpilot-pour-charger-votre-telephone-en-toute-securite.html
PortPilot.net, le site source du projet :
http://portpilot.net/
# Paranoïa
Posté par Strash . Évalué à 3.
Vous croyez vraiment que derrière ces ports USB il y a un système complet ?
Il s'agit sans aucun doute d'un simple transfo 5V, rien de plus. Beaucoup moins cher et peu sujet aux pannes.
Il faut arrêter de voir le mal aux endroits où il n'est pas. Ces thèses complotistes sont vraiment absurdes.
[^] # Re: Paranoïa
Posté par Sufflope (site web personnel) . Évalué à 10.
Tu crois vraiment que la NSA a un accès direct aux datacenters des géants du web ? Qu'ils auraient appelé comme un simple dispositif qui diffracte la lumière ?
[^] # Re: Paranoïa
Posté par gnumdk (site web personnel) . Évalué à -6.
Oui en même temps 99% des gens n'ont rien de sensible sur leur téléphone, les autres, leur téléphone est totalement chiffré et le mtp désactivé et non activable, donc la nsa, ils s'en branlent des photos de vacances de Monsieur dupond…
[^] # Re: Paranoïa
Posté par Nicolas Boulay (site web personnel) . Évalué à 6.
Si M. Dupont est avec sa secrétaire et non sa femme, cela pourrait lui être utile plus tard. Surtout avec des photos.
"La première sécurité est la liberté"
[^] # Re: Paranoïa
Posté par gnumdk (site web personnel) . Évalué à -1.
Le rapport avec la NSA?
[^] # Re: Paranoïa
Posté par Nicolas Boulay (site web personnel) . Évalué à 10.
La NSA veut tout stoquer et indexer pour "plus tard".
Par exemple, pour rentrer dans les systèmes, ils visent les administrateurs système pour avoir mot de passe et accès. On peut imaginer qu'un "chantage à la maitresse" peut être très utile pour pénétrer un système.
Les services secret ont rarement des méthodes très propres.
"La première sécurité est la liberté"
[^] # Re: Paranoïa
Posté par apkwa . Évalué à 7.
Bon, l'exemple n'est pas top car les informaticiens en général ont déjà du mal à trouver une copine, alors de là à avoir une maîtresse… ;) (<- je suis informaticien)
Nan, blague à part, je suis tout à fait d'accord avec le commentaire de niconico ci-dessus. J'avais tendance à croire que ce genre de choses n'existait que dans les films jusqu'au révélation de Snowden: (je cite wikipedia):
[^] # Re: Paranoïa
Posté par DerekSagan . Évalué à 3.
T'inquiète, si un jour la CIA veut te faire chanter, une femme te tombera dans les bras sans que t'aies besoin de te donner du mal à la trouver.
[^] # Re: Paranoïa
Posté par DerekSagan . Évalué à 3.
Il n'y en aura pas tant que la NSA ne se rendra pas compte que M. Dupont est gardien de nuit chez (au choix) Thales/EADS/Bull/la startup qui fait de l'ombre ou qu'il couche avec la femme d'un employé de l'embassade américaine.
[^] # Re: Paranoïa
Posté par Adrien . Évalué à 2.
Perso je pense que certains peuvent être intéressés pour connaître les contacts et agenda détaillés de cadre sup de grosse boite ou dans la recherche… sans compter les mots de passe pour accéder aux emails et cloud…
Le problème, c'est pas la technique…
[^] # Re: Paranoïa
Posté par Krunch (site web personnel) . Évalué à 10.
Même si la borne a été installée comme ça, ça n'empêche pas forcément un petit malin de repasser derrière pour « l'améliorer » par la suite pour se constituer un botnet de manière plus difficile à tracer par exemple.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Paranoïa
Posté par Anonyme . Évalué à 6.
C'est pas des thèses complotistes. Il est connu que la NSA et tout un tas de societés comme Facebook ou Google utilisent tous les moyens possibles pour obtenir un maximum d'informations sur un maximum de gens. Par ce que ca peut toujours servir, ou se revendre cher.
Si les gens prennent l'habitude de brancher leurs appareils en USB n'importe ou, il ne va pas falloir attendre longtemps avant que certains trouvent un moyen d'en profiter.
Sans meme parler de la NSA, si Lenovo est capable de risquer sa réputation en livrant ses machines avec un spyware, j'ai pas trop de mal à imaginer un fabriquant d'abris bus faire pareil.
[^] # Re: Paranoïa
Posté par dj_ (site web personnel) . Évalué à 10.
C'est encore pire, c'est pas un fabriquant d'abris bus. C'est JC Decaux, un marchand de pub
La récupération des infos sur le smartphone pourrait donner un meilleur profil et afficher un pub mieux ciblé sur l'écran publicitaire a coté. Donc c'est clairement une possibilité.
Idem avec le wifi qui sera intégré dans l'abris bus, ça va certainement être analysé
[^] # Re: Paranoïa
Posté par Thomas Debesse (site web personnel) . Évalué à 3. Dernière modification le 10 mars 2015 à 20:37.
Ne serait-ce que la sortie de
lsusbdes périphériques de la population des usagers de transport en commun peut se vendre cher.ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Paranoïa
Posté par freem . Évalué à 3.
C'est pas comme si un système complet coûtait si cher que ça, surtout à l'échelle d'un abris-bus. Que sont les 20€ d'un raspberry pi face aux probables milliers d'euros d'un abri-bus?
Je dis probable, parce qu'à mon avis ça doit avoir masse de contrôles pour pas que ça se casse la gueule, du verre assez solide pour encaisser un minimum les coups, etc etc. Ce qui doit bien valoir plus de 1999€ :)
[^] # Re: Paranoïa
Posté par Kerro . Évalué à 2.
De mémoire, un abri-bus basique coûte 3000 € livraison incluse. Le genre basique moche.
[^] # Re: Paranoïa
Posté par freem . Évalué à 3.
Bien ce que je pensais. Merci de la précision. Je n'ose imaginer le prix d'un machin avec pub déroulante et affichage de l'heure de passage des prochains bus.
Ce qui me fait d'ailleurs penser… l'affichage… ça implique qu'il y ait un processeur pour décoder les trames réseau ça, non? Même pas besoin de l'ajouter, le rPI :)
[^] # Re: Paranoïa
Posté par Kerro . Évalué à 3.
Avec pub déroulante = tout est payé par JCDecaux. Sauf certaines villes ou départements qui paient le mobilier puis qui louent à JCDecaux. Et sauf certains débiles qui paient le mobilier, puis qui paient l'entretien à JCDecaux. De mémoire le département paie 9000 € par an par abri bus :-) Mais sans publicité, ouf.
Affichage des horaires, c'est dans les 2000 € le poteau. Aucune idée du prix de la solution globale (serveurs, logiciels, émetteur, etc).
Ceux que je connais sont informés par voix hertzienne, donc pas de travaux particuliers à part l'adduction électrique (qui coûte tout de même facilement 500 à 1000 € pour une petite tranchées).
# Copie de fichier
Posté par claudex . Évalué à 4.
Et pour ceux qui ne connaîtraient pas. Pour faire une copie de fichier, il y a le CirclLean qui permet de transférer les données d'une clef USB à l'autre tout en évitant de copier des fichiers problématiques (exécutables, fichier MS Office avec Macro…).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Copie de fichier
Posté par Krunch (site web personnel) . Évalué à 7.
Je trouverais hilarant de compromettre un tel périphèrique et d'infecter ensuite tout ce qui s'y connecterait.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Pas en province
Posté par xcomcmdr . Évalué à 10.
Non, jamais vu ça de ma vie.
La province, naturellement sécurisée
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
# Commentaire supprimé
Posté par Anonyme . Évalué à -10. Dernière modification le 09 mars 2015 à 14:38.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -9.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Synthèse au 9 mars 2015 14h30
Posté par Sufflope (site web personnel) . Évalué à 4.
Bonjour SamWang,
pourquoi t'embêter à reposter une vidéo sur metatv.info dont tu n'es pas admin, parce qu'elle disparait, au lieu de finalement nous livrer le cahier des charges de Zind qui permettrait par une analyse sémantique distribuée d'autoinférer les mêmes méta-informations pour les restructurer (tout en les déstructurant d'un point de vue birelationnel…
… oh et puis merde il est trop tard pour ces conneries.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -10.
Ce commentaire a été supprimé par l’équipe de modération.
# USB=danger
Posté par jean_clume . Évalué à 5.
Je méfie toujours de l'USB depuis que j'ai lu cette dramatique mésaventure qui aurait pu arriver à chacun d'entre nous.
# USB Killer
Posté par Jean-Marc Liotier (site web personnel) . Évalué à 2.
C'est fait. http://kukuruku.co/hub/diy/usb-killer
# Ce qu'en dit l'ANSSI
Posté par Jean-Baptiste Faure . Évalué à 2.
Bulletin d'actualité du 16 mars 2015 : http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-011/CERTFR-2015-ACT-011.html (voir le point n°2)
avec un lien vers : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ACT-043/
# Pas ce problème sous Firefox OS
Posté par M5oul (site web personnel) . Évalué à 1.
Dans les paramètres de Firefox OS il y a la possibilité d'activer/désactiver le partage des données sur l'appareil et/ou la carte mémoire par USB.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.