Banal et pourtant dangereux : ce câble USB renferme un terrible piège

Il existe un certain nombre de produits sur le marché clairement destinés au piratage. Ils ne s'échangent pas en secret sur le dark web, mais se vendent au grand jour, comme le Flipper Zero. Tout est une question de marketing, et ce genre de produit est généralement proposé comme un outil pour les bricoleurs et les chercheurs en cybersécurité.

Dans la même lignée, voici un câble USB. Baptisé Hacknect, il ressemble à un câble USB tout ce qu'il y a de plus banal. Mais il suffit de le brancher sur un PC pour pouvoir en prendre le contrôle.

Malgré l'absence de boîtier ou tout autre élément visible, ce câble intègre un microcontrôleur ESP32-S3, un véritable mini-ordinateur avec un processeur double cœur Xtensa LX7 jusqu'à 240 MHz, et 512 kilooctets de mémoire vive SRAM. De plus, il est doté d'une connectivité en Wi-Fi et en Bluetooth. Aussi étrange que cela puisse paraître, ce câble USB fonctionne bel et bien sans fil.

Keylogger, vol de mots de passe et contrôle à distance

Branchez simplement une extrémité du câble sur un PC, et le système se met en route. Il s'agit d'un câble USB Type-C vers Type-A, et a priori toute la partie électronique se trouve dans la fiche USB-A. Il est même possible d'y glisser une carte microSD. Hacknect prend alors le contrôle du PC, et lance un panneau d'administration pour les différents outils qu'il intègre. Celui-ci est accessible via un navigateur web sur un appareil externe, par exemple un smartphone connecté en Bluetooth ou Wi-Fi.

Selon Little Gadgets, le créateur, ce câble USB peut simuler des saisies au clavier ou le déplacement de la souris, et exécuter du code à distance. Il peut stocker et installer à la demande différents programmes sur l'appareil ciblé. Il est possible, par exemple, d'enregistrer toutes les frappes au clavier (keylogger), utile notamment pour voler les mots de passe et numéros de carte bancaire, d'y transférer des fichiers, ou encore de verrouiller le système. Et lorsque vous avez fini, un simple bouton permet d'éradiquer toute trace de l'intrusion.

Il est possible d’insérer une carte microSD dans la fiche USB de ce câble (la carte n’est pas complètement enfoncée dans la photo). © Little Gadgets

Un projet open source

C'est donc un véritable outil pour un hacker, avec tout de même la contrainte qu'il faut se trouver à portée du signal Wi-Fi pour pouvoir en prendre le contrôle, mais il est aussi possible de régler des actions qui se lancent automatiquement au branchement du câble. De plus, si Hacknect sera impossible à distinguer d'un câble de base pour toute personne ne connaissant pas le projet, l'insertion d'une carte microSD casse un peu l'illusion car elle est tout de même visible. Le créateur indique que le firmware sera publié sous licence libre, avec une documentation et des exemples, après la livraison.

Hacknect est disponible sur Kickstarter au prix de 70 euros. Le projet a déjà reçu un financement dépassant 18 500 euros, bien plus que son objectif initial de 1 000 euros. Selon la localisation sur le site, le projet proviendrait d'Allemagne.

Le câble est disponible en rouge ou en blanc, et les premières livraisons devraient commencer en août. Bien sûr, comme avec tous les appareils vendus sur les sites de financement participatif, il y a toujours un risque que le projet n'arrive pas à terme et donc que vous ne receviez pas le câble. C'est donc à vos risques et périls.