Google confirme une faille pour Android 2.2 et antérieurs

Une correction coté serveurs 39
Vincent Hermann
Android LogoIl y a quelques jours, les travaux de chercheurs d’une université allemande ont montré qu’il existait une faille de sécurité dans Android. Le problème résidait dans la manière dont le système mobile de Google envoie des jetons d’authentification pour les informations des contacts et du calendrier. Une faille confirmée hier par Google, et sur laquelle la société travaille désormais.

Cette fameuse faille touche toutes les versions d’Android, à l’exception des deux dernières, Gingerbread pour les téléphones, et Honeycomb pour les tablettes. Lorsqu’Android se connecte aux services des contacts et du calendrier, des jetons d’authentification sont envoyées pour signaler au serveur que l’utilisateur a bien le droit d’accéder à ces informations. Le manque de protection à ce niveau, dans le protocole ClientLogin, peut permettre l’interception de ces jetons, et s’en servir pour accéder à ses données privées.

L’interception en elle-même est simplifiée par l’absence de chiffrement sur les données. Lorsque ces dernières sont transmises sur des réseaux ouverts, de type Wi-Fi publics, la faille est d’autant plus facile à exploiter.

Google connaît le problème, c’est d’ailleurs pour cette raison qu’on ne le retrouve pas dans Gingerbread et Honeycomb, au moins les contacts et le calendrier. La correction est en cours pour Picasa. Et qu’en est-il pour les versions plus anciennes du système ? Dans un message adressé à All Things Digital, Google indique :

« Nous débutons aujourd’hui la diffusion d’un correctif pour colmater une brèche potentielle qui pourrait, dans certaines circonstances, permettre à un tiers d’accéder aux données disponibles dans les contacts et le calendrier. Ce correctif ne demande aucune intervention de l’utilisateur et sera diffusé globalement dans les prochains jours. »

En clair, le problème se situe du côté du serveur, et les téléphones Android n’ont pas besoin de corriger quoi que ce soit. Un bon point d’ailleurs puisque cela évite de devoir mettre en place un patch à télécharger, ce qui ralentit toujours l’efficacité d’une correction.

Dans la période de « quelques jours » qui a commencé hier, il vaut mieux se montrer prudent et éviter les réseaux Wi-Fi publics avec les smartphones équipés d’Android 2.2 et versions antérieures.