Google confirme une faille pour Android 2.2 et antérieurs

Vincent Hermann
Par Le jeudi 19 mai 2011 à 12:29
Android LogoIl y a quelques jours, les travaux de chercheurs d’une université allemande ont montré qu’il existait une faille de sécurité dans Android. Le problème résidait dans la manière dont le système mobile de Google envoie des jetons d’authentification pour les informations des contacts et du calendrier. Une faille confirmée hier par Google, et sur laquelle la société travaille désormais.

Cette fameuse faille touche toutes les versions d’Android, à l’exception des deux dernières, Gingerbread pour les téléphones, et Honeycomb pour les tablettes. Lorsqu’Android se connecte aux services des contacts et du calendrier, des jetons d’authentification sont envoyées pour signaler au serveur que l’utilisateur a bien le droit d’accéder à ces informations. Le manque de protection à ce niveau, dans le protocole ClientLogin, peut permettre l’interception de ces jetons, et s’en servir pour accéder à ses données privées.

L’interception en elle-même est simplifiée par l’absence de chiffrement sur les données. Lorsque ces dernières sont transmises sur des réseaux ouverts, de type Wi-Fi publics, la faille est d’autant plus facile à exploiter.

Google connaît le problème, c’est d’ailleurs pour cette raison qu’on ne le retrouve pas dans Gingerbread et Honeycomb, au moins les contacts et le calendrier. La correction est en cours pour Picasa. Et qu’en est-il pour les versions plus anciennes du système ? Dans un message adressé à All Things Digital, Google indique :

« Nous débutons aujourd’hui la diffusion d’un correctif pour colmater une brèche potentielle qui pourrait, dans certaines circonstances, permettre à un tiers d’accéder aux données disponibles dans les contacts et le calendrier. Ce correctif ne demande aucune intervention de l’utilisateur et sera diffusé globalement dans les prochains jours. »

En clair, le problème se situe du côté du serveur, et les téléphones Android n’ont pas besoin de corriger quoi que ce soit. Un bon point d’ailleurs puisque cela évite de devoir mettre en place un patch à télécharger, ce qui ralentit toujours l’efficacité d’une correction.

Dans la période de « quelques jours » qui a commencé hier, il vaut mieux se montrer prudent et éviter les réseaux Wi-Fi publics avec les smartphones équipés d’Android 2.2 et versions antérieures.

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7355

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires