Autrefois très coûteux, le câble dit « OMG » a tout du câble USB que l'on utilise au quotidien. Mais en réalité, il permet à quiconque de pirater un appareil, un ordinateur par exemple. Alors méfiance !
L'innocence d'un simple câble USB peut cacher une menace redoutable. Le câble OMG, qui coûtait des milliers d'euros il fut un temps et été réservé aux agences de renseignement, est désormais accessible pour 150 euros seulement sur Internet. Déguisé en câble USB ordinaire, il peut exécuter une charge utile sur l'appareil auquel il se raccorde. Autrement dit, il peut se transformer en un outil espion et pirate imparable, et indétectable.
Le câble USB dit « OMG », furtif et dévastateur
Le câble OMG ressemble en tout point à un câble USB commun. Il dissimule néanmoins un cadre d'exploitation, un petit implant indétectable capable de prendre le contrôle total d'un ordinateur, ou d'un téléphone, en quelques secondes, entre autres « fonctionnalités ». Outre la forme difficilement détectable du câble, c'est surtout le fait qu'il soit à la portée de tout individu un tant soit peu malveillant, qui inquiète.
« Une fois branché à l'appareil, il est déjà trop tard », comme le note Naïm Aouaichia, ingénieur en cybersécurité, qui a éprouvé l'efficacité du câble en piégeant deux de ses amis, et ainsi les sensibiliser au risque cyber particulièrement pervers qu'il représente.
Le câble OMG nécessite un minimum de préparation. « J'ai soigneusement préparé l'attaque, et une fois branché, il me permettra d'accéder au système à distance, même après le débranchement », ajoute l'expert cyber. Quelles sont les étapes suivantes et les dangers encourus ?
27 juillet 2024 à 21h17
L'individu malveillant peut avoir un accès total à l'appareil ciblé
La manipulation consiste à simuler un clavier à l'aide du câble, ce qui permet de personnaliser les charges utiles et de mieux cibler son attaque. On installe alors SSH, le protocole qui permet le transfert de fichiers à distance et l'accès à distance au système d'exploitation. Dans son test, Naïm Aouaichia le configure avec un mot de passe choisi au préalable.
Ensuite, l'expert se connecte au système Windows de l'ordinateur, qu'il peut piloter à distance. C'est à ce moment-là qu'il peut déployer son programme sur la machine ciblée, pour l'exécuter. Pendant ce temps, l'utilisateur ne se doute de rien. Et pourtant, en temps réel, le propriétaire du câble OMG reçoit les frappes clavier, des captures d'écran très régulières, et il peut même lire les fichiers stockés sur le disque de la machine.
Ce qu'il faut bien comprendre, c'est que bien utilisé, le câble finit par offrir un total contrôle sur l'appareil. « Je peux activer le micro, la webcam ou la camera, lire tous les fichiers, faire des requêtes sur Internet, installer d'autres logiciels, tout supprimer », explique Naïm. Il peut même installer un cheval de Troie sur l'ordinateur, s'il souhaite maintenir, s'il souhaite garder un accès dans le temps à l'appareil.
Sans tomber dans la paranoïa, on n'est jamais mieux servi que par soi-même
Pour éviter de se faire piéger, la bonne recommandation, c'est de ne jamais accepter de câble USB d'une personne que vous ne connaissez pas, et qui voudrait généreusement vous dépanner. On rappelle ici que ce câble OMG fonctionne comme un câble ordinaire, avec des fonctionnalités de recharge et de transfert de données. Mais une fois déclenché, il peut tranquillement exécuter sa charge utile préprogrammée sur l'ordinateur ou le téléphone de la cible.
Pour tout utilisateur lambda, l'OMG est indétectable. À l'oeil nu, il faudrait vraiment être expert pour comprendre l'entourloupe : une finition plus ou moins mate, des broches plus épaisses, ou une couture sur le côté de l'appareil, par exemple.
Il l'est aussi aux yeux des pare-feu ou autres logiciels antivirus, ce qui le rend d'autant plus redoutable. Différentes versions de ce câble existent : certaines avec une portée Wi-Fi étendue, d'autres avec une vitesse de charge utile qui peut atteindre 800 ou 900 touches par seconde. Le câble existe, qui plus est, en version MicroUSB et Lightning. Prudence donc, et gardez toujours votre propre câble sur vous, même en déplacement.
21 novembre 2024 à 11h06
Sources : LinkedIn Naïm Aouaichia, Clubic