Avez-vous des raisons de vous attendre à des attaques ciblées?

Il est raisonnable de supposer que les câbles bon marché aléatoires vendus à grande échelle ne sont généralement pas modifiés pour inclure du matériel offensif, principalement pour deux raisons:

• Cela augmenterait le coût du câble bien au-dessus de son prix et ne serait pas rentable, même si l'on considère la possibilité de «monétiser» une certaine quantité d'ordinateurs aléatoires non ciblés appartenant à l'attaque, il n'y a donc pas de bonnes raisons économiques pour que les attaquants fassent cela.
• Nous aurions remarqué une telle attaque. Bien que la plupart des gens ne le remarqueraient pas, s'il s'agissait d'une attaque de masse, il y aurait raisonnablement une détection de cela. Les logiciels malveillants qui tentent de pirater au hasard de très nombreux ordinateurs rencontrent des problèmes évidents pour ne pas être détectés longtemps.

Cependant, si vous avez des raisons de vous attendre à des attaques ciblées et coûteuses visant à vous compromettre / em> par des personnes qui n'ont aucun scrupule à effectuer des actions illégales, alors il est certainement possible que le matériel que vous recevez soit "spécial". Cependant, cela n'est en aucun cas limité aux câbles de données USB bon marché ou aux câbles de données USB - des attaques raisonnablement similaires s'appliqueraient pour tout appareil que vous achetez de la même manière, à partir de souris. / claviers aux ordinateurs portables ou au matériel serveur. Comment savez-vous que votre ordinateur n'avait pas de porte dérobée matérielle / micrologicielle installée lorsque vous l'avez acheté?

Si vous avez des raisons de vous attendre à de tels risques, vous devez traiter vos achats de câbles de données USB de la même manière comme tout autre matériel sensible; par exemple, assurez-vous d'acheter un article qui ne peut pas être "ajusté" spécialement pour vous, par exemple achat aléatoire d'un article générique dans une étagère de magasin au lieu d'une commande à distance qui sera envoyée à votre adresse.

Problèmes de sécurité avec les câbles? Non.

Il est techniquement possible d'avoir un appareil caché / intégré, auquel cas toutes les mises en garde concernant un périphérique USB non fiable s'appliquent.

Cependant, le coût d'un appareil, en particulier un appareil assez petit être caché dans un câble, serait un peu plus haut que le câble lui-même, donc vous n'avez probablement pas à vous en soucier.

Je ne peux vraiment pas imaginer que le câble lui-même contienne un périphérique malveillant comme l'explique @GeorgeBailey. Donc, je dirais que ces câbles sont inoffensifs lorsque la confidentialité ou l'intégrité est prise en compte.

Mais si vous considérez que la sécurité englobe également la disponibilité (disponibilité), il y a de fortes chances que les contacts soient de mauvaise qualité et que vous rencontriez occasionnellement perte de connexion lors de leur utilisation. Le fait qu'il s'agisse d'un problème réel dépend de l'utilisation réelle ...

Je conviens que le potentiel d'accès malveillant est plutôt faible, et si cela vous inquiète vraiment, vous pouvez toujours acheter un câble de plus que ce dont vous avez besoin et le déchirer pour vérifier qu'il n'y a rien dans le boîtier qui ne devrait pas. t être. Je tiens à noter que même si je ne serais pas trop préoccupé par les problèmes de sécurité potentiels, le potentiel de dommages physiques aux appareils en cours de chargement est réel, mais de nombreux câbles bas de gamme disponibles ne répondent pas entièrement aux spécifications USB et sont souvent manquants. fonctionnalités requises pour régler correctement la puissance de sortie d'un port, ce n'est probablement pas un problème s'il est utilisé comme câble de données, mais cela pourrait poser un problème si un périphérique s'attend à une entrée d'alimentation très faible et est branché sur un port USB conçu pour être utilisé pour charger rapidement les appareils.

Les câbles sont des choses incroyablement simples. Vous suggérez que les modèles moins chers hébergent l'électronique dans le but de compromettre votre sécurité? Cela ne coûterait que de l'argent supplémentaire au fournisseur.

Ce dont vous devriez vraiment vous méfier, c'est de payer trop cher pour un produit à 5 $. Les câbles ne sont pas chers. Vous ne devriez pas payer plus que ce que vous appelez "une bouchée de pain" pour eux.

Si vous êtes une personne d'intérêt, tout est possible, je suppose. Je doute que le câble expédié par ex. Amazon n'est pas digne de confiance, mais les envois peuvent être interceptés et ce qui arrive dans votre boîte aux lettres peut avoir été falsifié. 99,9% d'entre nous sont peu probables.

Un problème plus grave est que de nombreux câbles USB 3 se sont avérés être de très mauvaise qualité.

Les problèmes proviennent des fabricants non conforme aux spécifications de l'interface, en particulier l'utilisation de résistances: une résistance pull-up de 56 kΩ doit être connectée à la broche Vbus pour signaler qu'une extrémité du câble ou du convertisseur est un périphérique USB hérité qui ne peut pas gérer une consommation de courant de 3A .

( http://www.theregister.co.uk/2015/11/05/google_engineer_ids_dodgy_usbs/)

Idem Un ingénieur a signalé plus tard qu'il faisait frire certains de ses équipements en raison d'un câble défectueux:

Une analyse plus approfondie a montré que les câbles SuperSpeed ​​annoncés manquaient entièrement et qu'une résistance de 10 kΩ a été utilisée au lieu de la résistance de 56 kΩ. spec appelle pour. Il va sans dire qu'au moment où les vérifications ont été effectuées, tout l'équipement de test de Leung était frit.

( https://www.engadget.com/2016/02/03/ benson-leung-chromebook-pixel-usb-type-c-test /)

Si le fournisseur de câbles n'a aucun moyen de deviner l'identité de l'acheteur, les chances d'exploits sont faibles.

Cependant, je semble me souvenir qu'un magazine informatique allemand avait acquis et testé des câbles USB3 bon marché qui étaient câblé assez mal pour potentiellement détruire des périphériques.

Il y a aussi des ordinateurs détruisant intentionnellement des périphériques USB autour. Si quelqu'un est juste un connard, de telles choses pourraient entrer en circulation même si elles sont plus coûteuses à produire qu'un câble approprié.

Et les premières vagues de virus informatiques n'avaient pas de charge utile commerciale, donc l'assholery n'est pas tout cela du jamais vu.

Cela dépend de votre définition de "sûr". Il est peu probable qu'un tel câble contienne une charge utile malveillante, mais il est possible qu'un tel câble vous espionne. Il y a une vieille présentation Powerpoint flottant sur Internet, censée être utilisée lors d'une réunion interne par une agence d'espionnage gouvernementale, discutant d'un moyen d'espionner votre moniteur via vos câbles. Cette présentation affirmait que cet appareil, de la taille de quelques grains de riz, était déjà utilisé et que certains fabricants de câbles avaient accepté de mettre cet appareil dans les câbles qu'ils vendaient. Il a affirmé qu'il renvoyait votre signal VGA rouge lorsqu'un faisceau radio a frappé une petite parabole radio dans ce dispositif d'espionnage. Cela semble assez plausible, les puces RFID et NFC sont alimentées de la même manière.

La bonne nouvelle est que si un camion étrange n'est pas assis à l'extérieur de votre maison, cette méthode ne peut pas fonctionner. Si cela fonctionne avec des signaux numériques.

Divulgation complète, ce Powerpoint a peut-être été un canular. Le matériel n'est pas mon point fort, ni l'électronique, surtout rien lié aux ondes modulées.

Si vous voulez faire quelque chose de malveillant, sauf pour tuer l'appareil, vous nead alimentation pour votre outil.

L'USB AB, A-mini, A-micro, A-Olympus, A- les câbles de foudre ne sont que des conducteurs. Toute la communication est effectuée par un dirver USB sur votre ordinateur et sur l'appareil. Dans le câble, il ne peut y avoir que des résistances et des filtres passifs.

Le câble, et le dispositif TLA hypothétique, sont conçus pour fonctionner avec une alimentation 5 VDC et des signaux numériques.

Si vous connectez 20 VCA entre une paire de broches, y compris le blindage, et que quelque chose explose, le câble a été modifié par TLA et il a été alimenté par USB. Construire quelque chose capable de fonctionner pleinement avec une alimentation allant de 0-1 kV, AC et DC est impossible.

Si vous avez des doutes sur un appareil TLA auto-alimenté, vous pouvez utiliser le bon vieux rayon X. Achetez du papier photographique, conservez-le dans une enveloppe sombre, mettez les ports USB dessus et placez le minerai d'uranium dessus. Développez la photographie le lendemain et vous obtiendrez une ombre aux rayons X de l'intérieur. S'il est modifié par TLA, vous verrez des circuits supplémentaires.

Si vous pensez que ce n'est toujours pas suffisant, vous pouvez lui appliquer un champ magnétique très puissant et dynamique. L'EMP (Nuke) ou la résonance magnétique (RMN) sont capables de tels chocs magnétiques. Chaque circuit induira suffisamment de courant pour se frire. Si le câble survit, vous êtes sûr qu'il n'a pas été modifié par TLA.

Dans le monde réel, un appareil est capable de tout ce qui est malveillant et est-ce si petit coûte beaucoup d'efforts ( = argent) à utiliser comme dispositif aléatoire. L'atacker n'a aucune idée de ce que vous êtes sur le point de faire avec le câble - ce sont des câbles universels (câbles de bus série) -, vous pouvez les utiliser pour charger votre éclairage de vélo, par exemple.

Par conséquent, ils ne sont utiles que pour les attaques ciblées. Dans ce cas, TLA remplacera probablement le câble que vous utilisez déjà par le câble amélioré TLA. Si vous êtes assez paranoïaque, utiliser des câbles USB bon marché achetés au hasard est le moyen d'être sûr que vous n'êtes pas surveillé par TLA via la technique d'écoute et de rapport de prise USB. La procédure est la suivante: acheter, utiliser, éliminer. Pas de réutilisation, pas de stockage.

tl; dr :
L'utilisation de câbles USB bon marché est, en ce qui concerne uniquement l'infestation par TLA, totalement sûre.