Les prises USB pour recharger son téléphone ou tout appareil mobile sont désormais partout (ou presque) : bus, gares, trains, avions, etc. Nous les considérons comme une prise électronique. Fondamentalement, ce port USB reste un port USB. Et le problème, c'est qu'il peut être modifié pour devenir une redoutable porte dérobée pour copier les données de votre terminal et vous tromper. On parle alors de Juice Jacking. 

Dès 2019, l'administration américaine des communications, la FCC, avait mis en garde centre l'usage des stations de recherche publiques. Il ne faut pas oublier qu'un port USB permet de recharger un téléphone mais est surtout un port de transfert pour les données. Il faut donc que le hacker modifie le port public pour pouvoir cibler le matériel connecté. Objectif : télécharger les données, les photos, les contacts, voire, charger sur le téléphone, une app malveillance. 

Bref, réaliser un Juice Jacking n'est pas forcément simple, il faut avoir accès à la borne, la démonter, installer le hardware / logiciel nécessaire et tout remettre en place. 

Kaspersky explique : C’est en 2011 que les pirates informatiques ont imaginé ce type d’attaque : si un port de charge USB à l’apparence innocente ne se contente pas de fournir de l’électricité mais contient un ordinateur caché, celui-ci peut se connecter à votre smartphone en mode de transfert de données à l’aide du protocole de transfert de médias (MTP) ou du protocole de transfert d’images (PTP) et extraire des données de l’appareil. Cette attaque est connue sous le nom de juice-jacking, et Google et Apple ont rapidement mis au point une mesure de protection : lorsqu’un smartphone est connecté à un dispositif prenant en charge les protocoles MTP et PTP, l’utilisateur est invité à indiquer s’il souhaite autoriser le transfert de données ou se contenter de recharger l’appareil. Pendant de nombreuses années, cette simple précaution a semblé résoudre le problème… jusqu’en 2025, lorsque des chercheurs de l’université technologique de Graz, en Styrie (Autriche), ont découvert un moyen de la contourner.

Les attaques ChoiceJacking apparaissent alors. Un matériel compromis, prenant la forme d'une borne de recherche USB, trompe une personne qui se connexte dessus. Trois méthodes attaques peuvent être utilisés : cacher un micro-ordinateur pour se connecter au device mobile et permettre d'activité le Bluetooth, utiliser le bluetooth pour simuler un clavier USB et faire une sortie de déni de service, et enfin exploiter une mauvaise implémentaire AOAP (Android). Android et iOS sont protégés contre ces méthodes. 

Comment s'en prévenir ?

- utiliser une batterie externe

- vérifier si une borne semble anormale ou montre des traces de modification

- utiliser un câble USB uniquement pour la charge sans possibilité de faire transiter des données ou un bloqueur USB de données

- verrouiller ou passer en mode avion