S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Une importante faille de sécurité concernerait 99 % des appareils Android

Le cybercrime était presque parfait

Une importante faille de sécurité a été trouvée au sein d’Android.  Elle pourrait représenter le saint Graal des pirates car cette brèche, vieille de quatre ans, concerne pratiquement toutes les versions du système mobile de Google.

android malware

Crédits : greyweed, licence Creative Commons

Le saint Graal de la faille de sécurité

La plateforme Android écrase littéralement la concurrence en volume de ventes et en parts de marché, grâce notamment à la pluralité des modèles proposés par les constructeurs. Depuis plusieurs années, la situation a abouti à un marché fragmenté, les smartphones et tablettes étant proposés avec des versions différentes qui ne sont pas forcément mises à jour, même si le problème est beaucoup moins présent avec les appareils récents. De fait, si une faille commune à toutes les versions était détectée, elle mettrait en danger de très nombreux utilisateurs.

 

C’est précisément le cas avec la découverte faite par la société Bluebox : une brèche de sécurité capable de toucher 99 % des appareils Android à cause de son âge plus que vénérable. La faille remonte au moins jusqu’à Android 1.6, autrement dit une version vieille de quatre ans. Depuis, 900 millions d’appareils ont été vendus avec le système selon Bluebox, ce qui permet aux pirates une exploitation dans une échelle sans précédent.

 

La faille en question est particulièrement grave : elle permet la modification d’un paquet d’application (APK) sans que cela ne modifie la signature électronique. En clair, une application parfaitement légitime pourrait être trafiquée pour la rendre « vérolée » sans que personne ne puisse détecter le changement. La boutique d’applications ne verrait pas la différence car la signature électronique serait toujours la même. Or,  cette même signature n’est censée pouvoir être faite que par l’éditeur authentique de l’application.

Des privilèges dépendant de l'application visée 

La situation est pour Bluebox encore plus complexe lorsque l’on considère les applications fournies par les constructeurs tels que HTC, Samsung, Motorola et ainsi de suite. Ces applications maison possèdent le plus souvent des privilèges élevés car elles sont parfois spécifiques à un matériel donné. On pensera par exemple à HTC et à Beat Music. Ce peut être le cas également avec celles qui sont fournies par les partenaires du constructeur, comme Cisco avec sa solution VPN AnyConnect. À cause des privilèges inhérents à ces applications, un malware pourrait avoir accès à des privilèges élevés lui donnant tout pouvoir sur le système.

 

Ce contrôle pourra s’exercer de deux manières :

  • Lire n’importe quel type de données stockées sur le téléphone : les SMS, les emails, les informations stockées par les applications, les pièces-jointes, les identifiants des différents comptes, etc.
  • Agir : passer des appels arbitrairement, envoyer des SMS, utiliser la caméra, enregistrer le contenu des appels en direct…

Le problème est qu’il faudrait maintenant que tous les appareils soient mis à jour. Et là, évidemment, il existe un pépin de taille : de nombreux appareils ne sont plus supportés, tout en pouvant encore accéder à Google Play. On pense notamment à la myriade de modèles restés bloqués à Android 2.3 alors que beaucoup d’applications demandent au minimum cette version pour fonctionner, les rendant ainsi compatibles. On peut par exemple prendre le cas de l’application Facebook qui serait modifiée et dont la clé de signature ne serait pas modifiée, empêchant Android de voir la différence et laissant alors le malware agir à sa guise.

 

bluebox faille android

 

La capture ci-dessus montre comment Bluebox a pu utiliser les privilèges élevés d’une application fournie avec un appareil HTC pour modifier la version du Baseband, une information qui normalement n’est donnée que depuis le firmware et qui n’est donc pas modifiable.

 

Bluebox indique que les détails plus complets de la faille seront révélés lors de la prochaine conférence Black Hat qui se tiendra du 27 juillet au 1er août à Las Vegas. La société de sécurité indique cependant que les informations ont été transmises confidentiellement à Google en février dernier et que c’est désormais aux constructeurs de réagir en proposant de nouveaux firmwares.

 

En attendant, les utilisateurs devraient  faire très attention à la source d’installation de leurs applications. Dans les entreprises, les stratégies BYOD (Bring your own device) devraient être complétées d’une obligation de mettre à jour les appareils.

Source : Bluebox
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 04/07/2013 à 10:50

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 176 commentaires

Avatar de indyiv INpactien
indyiv Le jeudi 4 juillet 2013 à 10:53:12
Inscrit le mercredi 19 mai 10 - 2887 commentaires
en même temps le systeme Android permet très simplement d'autoriser l'exécution d’APK tiers ...

du coup même sans faille de sécurité les risques pour un utilisateur non averti sont très elevés ...
Avatar de fwak INpactien
fwak Le jeudi 4 juillet 2013 à 10:53:38
Inscrit le jeudi 3 mars 05 - 1289 commentaires
Ben oui, c'est bien connu, cette faille s'appelle PRISM
Avatar de ano_635234089995469699 INpactienne
ano_635234089995469699 Le jeudi 4 juillet 2013 à 10:53:48
Inscrite le mercredi 26 juin 13 - 386 commentaires
J'ai lu un article ce matin indiquant que le S4 ne semblait pas touché, ce qui tendrait à prouver que la faille était connue depuis un certain temps

Edité par droogs le jeudi 4 juillet 2013 à 10:54
Avatar de Pc_user INpactien
Pc_user Le jeudi 4 juillet 2013 à 10:55:19
Inscrit le samedi 25 mars 06 - 228 commentaires
C'est très flippant... je me demande comment google va pourvoir y remédier avec la pléthore de versions en circulation...
Avatar de seboss666 INpactien
seboss666 Le jeudi 4 juillet 2013 à 11:00:39
Inscrit le mardi 14 mars 06 - 759 commentaires
Avec la plupart des fabricants qui laissent tomber le téléphone à peine au bout d'un an quand c'est pas moins, ça me fait marrer ceux qui disent que c'est pas grave de pas avoir de maj (rapport à la news sur le HTC One S).

On va moins rigoler quand tous les téléphones seront pourris. Comme à la grande époque de Windows tiens.

Il y a 176 commentaires

;