Secu
99% des smartphones Android frappés par une faille de sécurité majeure
Par La rédaction, publié le 05 juillet 2013
Une faille touchant toutes les versions d’Android, depuis Donut (1.6), a été découverte. Les détails devraient être dévoilés à la fin du mois. S’il faut évidemment être prudent, rien ne permet de penser qu’elle a déjà été utilisée.
Un petit milliard de smartphones ? 900 millions à en croire les chiffres annoncés par Google lors de la dernière Google I/O, c’est le nombre de smartphones sous Android qui étaient activés en mai dernier. A en croire Bluebox, une startup américaine spécialisée dans la sécurité informatique, 99% de ces téléphones sous Android seraient concernés par une faille de sécurité critique présente dans toutes les versions du système d’exploitation de Google depuis sa version 1.6 (Donut).
« Des implications énormes »
Une faille de sécurité dans la master key d’Android, qui permet à une personne mal intentionnée de modifier le code des paquets applicatifs d’Android, les fameux APK, sans altérer la signature chiffrée de l’application. Autrement dit, cela permet de transformer n’importe quelle application en un cheval de Troie ou autre malware. Sans que le magasin applicatif, le téléphone ou l’utilisateur ne puissent s’en apercevoir. « Les implications sont énormes ! », écrit Jeff Forristal, le directeur technique de Bluebox, sur le blog de son entreprise.
D’autant que ces implications sont multipliées exponentiellement quand on applique à chaque situation personnelle ou d’entreprise, le multiplicateur de risques potentiels représentés par les applications développées par les fabricants de smartphones ou les éditeurs tiers à qui sont attribués des droits privilégiés.
Des scénarios catastrophes
Dès lors on peut imaginer une application malveillante, pourtant reconnue comme valide et non dangereuse, qui accède à toutes les données contenues sur un smartphone, quelle que soit l’application qui les génère et stocke : SMS, mails, contacts, fichiers, mots de passe, etc. Un smartphone zombie, comme il y a des PC zombies, dont la caméra peut être activée à tout moment, qui peut enregistrer les appels sans que l’utilisateur le sache, et qui peut même appeler seul un numéro surtaxé, par exemple. Jeff Forristal décrit même une entité zombie qui composerait un botnet sans cesse mouvant donc difficile à détecter.
Google Play potentiellement épargné
Tous les détails techniques n’ont pas encore été dévoilés au grand public, ni aux experts de sécurité. Seul Google a été alerté en février dernier de l’existence de cette faille.
D’autres experts en sécurité jugent cette trouvaille plausible même s’ils indiquent que ses répercussions pourraient être moins inquiétante que le tableau dressé par Jeff Forristal. C’est le cas de Sean Sullivan, de F-Secure, qui pense que Google Play, soit le principal kiosque de téléchargement d’application, pourrait et peut même peut-être déjà contrôler ce problème. « Une interaction avec Google play permettrait à Google de reconnaître une application altérée », expliquait-il à nos confrères britanniques de The Inquirer.
Google Play est en effet pourvu de nombreux outils, dont son Bouncer, utilisé pour scanner les applications à la recherche de malwares. En revanche, ce n’est pas le cas des autres magasins applicatifs en ligne, qui sont à l’origine de nombreuses contaminations.
Faire preuve de prudence mais pas de suspicion
Dans ce contexte et en attendant d’en savoir plus sur cette faille, Jeff Forristal appelle à la prudence et conseille aux entreprises de surveiller de près l’utilisation des appareils personnels dans le contexte professionnel. Le BYOD est effectivement une des principales sources de problèmes de sécurité pour les entreprises, qu’elles soient des TPE/PME ou des grands comptes.
Pour en savoir plus, il faudra attendre la conférence de Jeff Forristal, intitulée Android : one root to own them all, qui se tiendra pendant la prochaine conférence Black Hat du 27 juillet au 1er août prochain, à Las Vegas. Si le potentiel néfaste de cette faille semble bien réel, rien ne prouve pour l’instant que cette dernière a été utilisée pour l’instant. Pas la peine de regarder votre smartphone Android d’un œil plus suspicieux.
A lire aussi :
Marc Rogers (Lookout) : « La sécurité sur Android et iOS est comparable » – 31/05/2013
Orange s’associe à Lookout pour sécuriser les mobiles Android – 04/12/2012
Sources :
Blog de Bluebox
The Inquirer