Depuis hier, l'histoire se répand comme une traînée de poudre : le BlackPhone aurait été « rooté » en cinq minutes seulement. Coup de massue pour le smartphone ultra sécurisé ? Comme bien souvent, les choses sont loin d'être aussi simples. Explications.
Au début de l'année, Silent Circle et Geeksphone dévoilaient leur Blackphone, un smartphone de 4,7 pouces fonctionnant sur une version largement modifiée d'Android. Il mise tout sur la sécurité et la confidentialité, notamment avec la possibilité de chiffrer intégralement vos données. Il est donc évidemment attendu au tournant et le salon BlackHat qui se tenait il y a quelques jours était l'occasion de tester sa résistance.
Si l'on en croit certains retours, les résultats ne seraient pas à la hauteur : Justin Case (alias @TeamAndIRC) aurait « rooté » le téléphone en moins de cinq minutes. Mais les choses ne sont pas aussi simples que cela avec, en premier lieu, l'histoire des cinq minutes. En effet, il s'agit du temps nécessaire afin d'identifier une vulnérabilité, mais pas pour arriver à prendre le contrôle du smartphone.
@Bukowsky bad facts, never claimed root in 5 minutes
— Justin Case (@TeamAndIRC) 11 Août 2014
Quoi qu'il en soit, Justin Case annonce avoir découvert trois moyens d'attaquer le Blackphone. Premièrement en accédant au menu du debug USB, ensuite en détournant une application censée effacer les données afin de monter en privilège et enfin en passant d'un simple utilisateur à « root ».
Dans un billet, Dan Ford, responsable de la sécurité du Blackphone, répond point par point. Tout d'abord, concernant le debug USB. Il indique qu'un problème aurait été découvert juste avant l'envoi du smartphone en production et, plutôt que de retarder cette étape, il a été désactivé temporairement. Pour la petite histoire, il s'agit d'un bug pouvant entraîner un démarrage en boucle infinie du téléphone lorsque le chiffrement était activé. Dan Ford ajoute que ce menu « caché » reviendra via une mise à jour qui sera prochainement déployée. Pour lui, il ne s'agit donc pas d'une faille.
Concernant le second point, la faille a en fait déjà été identifiée et corrigée le 31 juillet, avec une mise à jour déployée le 1er août (PrivateOS 1.0.2). Un point confirmé par Juste Case via ce tweet où il précise ne pas avoir mis à jour son smartphone. Le troisième point n'est par contre pas évoqué en détail et pour cause : il n'aurait finalement pas été présenté. « Nous pensons que cette vulnérabilité touche de nombreux fabricants OEM et pas uniquement le Blackphone. Quand elle sera rendue publique, nous proposerons une mise à jour plus vite que n'importe quel OEM » affirme le représentant de la société, visiblement sûr de lui.
Dans un autre message publié sur Twitter, @TeamAndIRC dresse un portrait assez peu flatteur de ses propres découvertes : « configuration non recommandée [NDLR : mise à jour non effectuée], accès physique, mot de passe utilisateur, pas de chiffrement, firmware non mis à jour. Impraticable comme une attaque dans la pratique ». L'honneur du Blackphone est donc à peu près sauf... du moins pour le moment.
Du côté de Blackphone, on se dit prêt en cas de découverte d'une faille : « nous contrôlons les mises à jour OTA, et nous sommes dans la capacité de boucher des failles dès qu'elles sont découvertes ». En effet, il est tout simplement impossible de garantir une fiabilité à 100 % dans le domaine de la sécurité informatique, mais il est néanmoins possible de limiter la casse, et surtout d'être réactif en cas de problème. C'est justement sur ce dernier point que le Blackphone doit maintenant faire ses preuves.
Commentaires (34)
#1
En même temps, quand on veut un truc vraiment plus secure, on se dirige vers un Hoox de Bull.
#2
Je suis prêt à parier que la NSA a déjà planché sur le sujet et que si failles il y a, elles sont déjà exploitées
" />
#3
nous sommes dans la capacité de boucher des failles dès qu’elles sont découvertes
Dès qu’elles sont découvertes?
J’espère que c’est une erreur de traduction, parce que c’est assez grossier comme promesse.
Les gouvernements et d’autres acteurs moins scrupuleux ne vont pas aller gentiment rapporter rapporter à cet éditeur les 0day qu’ils découvrent /achètent. Du coup il peut s’écouler des années entre la découverte d’une faille critique et la correction. C’est pas spécifique à Android hein, c’est juste pour souligner le ridicule de certaines promesses marketing. D’autant plus que si un chercheur trouve une faille dans Android, c’est avec Google (et donc potentiellement avec la NSA) qu’il partagera sa découverte. Pas avec un OEM comme celui ci.
#4
#5
#6
#7
#8
#9
#10
#11
En effet, il est tout simplement impossible de garantir une fiabilité à 100 % dans le domaine de la sécurité informatique
Ah ils ont bien bossé les commerciaux des big ones!!!!
Je ne sais pas si il est possible d’avoir une sécurité à 100%, l’erreur reste humaine, ce que je sais c’est que les failles de sécurités que je connais de ces dernières auraient quasiment toutes (toutes??) pu êtres évitées avec un minimum de respect de principes de bases tel que : le contrôle des entrées utilisateurs ou les principes de gestion de la mémoire.
Pour moi il y a deux problèmes réels, les surcouches successives des bibliothèques aux templates en passant par les langages interprétés, qui font écran de fumée entre le programmeur et le code et permettent qu’une faille de sécurité puisse polluer des centaines d’applications.
Et le principe bien connu de “la promesse du commercial” qui insère le développement dans des délais si cours que la partie qualité et Beta test est souvent réalisée après le déploiement.
Quand à avoir un smartphone sécurisé pourquoi pas, à condition de pouvoir soi-même vérifier l’ensemble du code, et pas seulement de l’OS également des firmwares.
#12
#13
#14
#15
#16
#17
Le mieux pour la sécurité reste un iPhone.
" />
#18
#19
#20
#21
Je ne trouve pas d’édito, d’article ou autre concernant la protection de la vie privée sur des appareils Android.
Je sais qu’Android et vie privée ne riment pas, mais il existe des trucs pour se faire pomper un minimum d’infos personnelles.
Pourquoi la rédaction ne s’attaque elle pas à ce genre de billet?
#22
#23
Dans un autre message publié sur Twitter, @TeamAndIRC dresse un portrait assez peu flatteur de ses propres découvertes : « configuration non recommandée [NDLR : mise à jour non effectuée], accès physique, mot de passe utilisateur, pas de chiffrement, firmware non mis à jour. Impraticable comme une attaque dans la pratique ». L’honneur du Blackphone est donc à peu près sauf… du moins pour le moment.
Euh… j’ai pas compris. C’est des découvertes sur d’autres systèmes? Sur la faille mentionnée dans le paragraphe précédent ? Pas sur le Blackphone j’imagine mais comme c’est pas clair, la conclusion du paragraphe ne semble pas se rapporter aux propos de @TeamAndIRC…
#24
#25
#26
#27
#28
#29
#30
#31
Ho mon dieu ! Je suis passé de user à root sur mon mobile et j’ai tout les droits dessus !?
" />
#32
#33
#34
On ne peut pas installer Facebook Messenger sur un Blackphone ?