Est-il sûr d'utiliser des câbles de données USB bon marché?
Des sites Web comme Amazon et eBay vendent des câbles de données USB pour une somme dérisoire, souvent de provenance inconnue ou douteuse.
Dois-je me garder d'utiliser ces câbles pour transférer des données vers ou depuis mes appareils? Est-il possible (et plausible) qu'ils aient une charge utile malveillante qui peut compromettre la sécurité du périphérique hôte?
Avez-vous des raisons de vous attendre à des attaques ciblées?
Il est raisonnable de supposer que les câbles aléatoires bon marché vendus à grande échelle ne sont généralement pas modifiés pour inclure du matériel offensif, principalement pour deux raisons:
- Cela augmenterait le coût du câble bien au-dessus de son prix et ne serait pas rentable même si l'on considère la possibilité de "monétiser" une certaine quantité d'ordinateurs aléatoires non ciblés appartenant à l'attaque, il n'y a donc pas de bonnes raisons économiques pour les attaquants de le faire.
- Nous aurions remarqué une telle attaque. Bien que la plupart des gens ne le remarqueraient pas, s'il s'agissait d'une attaque de masse, il y aurait raisonnablement certains détection de cela. Les logiciels malveillants qui tentent de pirater au hasard de nombreux ordinateurs ont des problèmes évidents de rester longtemps non détectés.
Cependant, si vous avez des raisons de vous attendre à des attaques ciblées et coûteuses visant à compromettre vous par des personnes qui n'ont aucun scrupule à effectuer des actions illégales, alors il est certainement possible que le matériel que vous recevez soit "spécial". . Cependant, cela ne se limite en aucune façon à bon marché câbles de données USB ou câbles de données USB - des attaques raisonnablement similaires s'appliqueraient pour tout appareil que vous achetez de la même manière, à partir de souris/claviers vers des ordinateurs portables ou du matériel serveur. Comment savez-vous que votre ordinateur n'avait pas de porte dérobée matérielle/micrologicielle installée lorsque vous l'avez acheté?
Si vous avez des raisons de vous attendre à de tels risques, vous devez traiter vos achats de câbles de données USB de la même manière que tout autre matériel sensible; par exemple, assurez-vous que vous achetez un article qui ne peut pas être "ajusté" spécialement pour vous, par exemple achat aléatoire d'un article générique à partir d'une étagère de magasin au lieu d'une commande à distance qui sera postée à votre adresse.
Des problèmes de sécurité avec les câbles? Non.
Il est techniquement possible d'avoir un périphérique caché/intégré, auquel cas toutes les mises en garde d'un périphérique USB non approuvé s'appliquent.
Cependant, le coût d'un appareil, en particulier un assez petit pour être caché dans un câble, serait un peu plus élevé que le câble lui-même, vous n'avez donc probablement pas à vous en préoccuper.
Je ne peux vraiment pas imaginer que le câble lui-même contienne un périphérique malveillant comme expliqué par @GeorgeBailey. Je dirais donc que ces câbles sont inoffensifs lorsque l'on considère la confidentialité ou l'intégrité.
Mais si vous considérez que la sécurité englobe également la disponibilité (disponibilité), il est probable que les contacts soient de mauvaise qualité et que vous rencontriez occasionnellement une perte de connexion lors de leur utilisation. Que ce soit un vrai problème dépend de l'utilisation réelle ...
Je conviens que le potentiel d'accès malveillant est plutôt faible, et si vous êtes vraiment inquiet à ce sujet, vous pouvez toujours acheter un câble de plus que nécessaire et le déchirer pour vérifier qu'il n'y a rien dans le boîtier qui ne devrait pas l'être. Je tiens à noter que bien que je ne sois pas trop préoccupé par les problèmes de sécurité potentiels, le risque de dommages physiques aux appareils en cours de charge est réel, de nombreux câbles bas de gamme disponibles ne répondent pas entièrement aux spécifications USB et manquent souvent fonctionnalités requises pour régler correctement la puissance de sortie d'un port, probablement pas un problème s'il est utilisé comme un câble de données, mais pourrait être un problème si un appareil attend une entrée d'alimentation très faible et est branché sur un port USB conçu pour être utilisé pour charger rapidement les appareils.
Les câbles sont des choses incroyablement simples. Vous suggérez que les modèles moins chers abritent des appareils électroniques dans le but de compromettre votre sécurité? Cela ne ferait que coûter plus cher au fournisseur.
Ce dont vous devriez vraiment vous méfier, c'est de payer trop cher pour un produit à 5 $. Les câbles ne sont pas chers. Vous ne devriez pas payer plus que ce que vous appelez "une bouchée de pain" pour eux.
Si vous êtes une personne d'intérêt, tout est possible, je suppose. Je doute que le câble expédié par ex. Amazon n'est pas digne de confiance, mais les envois peuvent être interceptés et ce qui arrive dans votre boîte aux lettres aurait pu être falsifié. Cela n'arrivera probablement pas à 99,9% d'entre nous.
Un problème plus important est que de nombreux câbles USB 3 se sont révélés être de très mauvaise qualité.
Les problèmes proviennent du fait que les fabricants ne respectent pas les spécifications de l'interface, en particulier l'utilisation de résistances: une résistance de rappel de 56 kΩ doit être connectée à la broche Vbus pour signaler qu'une extrémité du câble ou du convertisseur est un périphérique USB hérité qui ne peut pas gérer un tirage de courant 3A.
( http://www.theregister.co.uk/2015/11/05/google_engineer_ids_dodgy_usbs/ )
Le même ingénieur a déclaré plus tard avoir frit une partie de son équipement en raison d'un câble défectueux:
Une analyse plus approfondie a montré que les câbles SuperSpeed annoncés manquaient totalement, et une résistance de 10 kΩ a été utilisée à la place de la résistance de 56 kΩ demandée par la spécification. Inutile de dire qu'au moment où les vérifications ont été effectuées, tout l'équipement de test de Leung était frit.
( https://www.engadget.com/2016/02/03/benson-leung-chromebook-pixel-usb-type-c-test/ )
Si le câblodistributeur n'a aucun moyen de deviner l'identité de l'acheteur, les risques d'exploitation sont faibles.
Cependant, je semble me souvenir qu'un magazine informatique allemand avait acquis et testé des câbles USB3 bon marché qui étaient suffisamment câblés pour potentiellement détruire des appareils.
Il y a aussi intentionnellement des périphériques USB détruisant l'ordinateur. Si quelqu'un n'est qu'un connard, de telles choses pourraient entrer en circulation même si elles sont plus chères à produire qu'un bon câble.
Et les premières vagues de virus informatiques n'avaient pas de charge utile commerciale, donc l'assolerie n'est pas si inconnue.
Cela dépend de votre définition de "sûr". Il est peu probable qu'un tel câble contienne une charge utile malveillante, mais il est possible qu'un tel câble vous espionne. Il y a une vieille présentation PowerPoint flottant sur Internet, censée être utilisée lors d'une réunion interne par une agence d'espionnage du gouvernement, discutant d'un moyen d'espionner votre moniteur via vos câbles. Cette présentation affirmait que cet appareil, de la taille de quelques grains de riz, était déjà utilisé et que certains fabricants de câbles avaient accepté de placer cet appareil dans les câbles qu'ils vendaient. Il a affirmé qu'il renvoyait votre signal VGA rouge lorsqu'un faisceau radio a heurté une petite antenne parabolique dans cet appareil d'espionnage. Cela semble assez plausible, la RFID et les puces NFC sont alimentées de manière similaire.
La bonne nouvelle est que si un camion étrange n'est pas assis devant votre maison, cette méthode ne peut pas fonctionner. Si cela fonctionne avec des signaux numériques.
Divulgation complète, ce PowerPoint peut avoir été un canular. Le matériel n'est pas mon point fort, ni l'électronique, en particulier rien lié aux ondes modulées.