Un message SMS ou Facebook peut bloquer Windows Phone 7

Un message, un blocage 86
Vincent Hermann
Windows Phone 7 peut être victime d’une attaque transitant par la messagerie. C’est la conclusion de WinRumors qui, après en avoir été alerté par un lecteur, a confirmé le problème. D'après le site, la faiblesse ne semble pas relever d'une faille de sécurité mais bien de la manière dont le système mobile gère les messages.

htc radar titan mango

WinRumors a donc effectué des tests sur plusieurs appareils, notamment les Titan de HTC et Focus Flash de Samsung. Le problème n’est donc pas spécifique à un smartphone en particulier. Il n’est pas non plus l’apanage d’une version précise de Windows Phone 7 puisque certains téléphones possédaient la mouture 7720 (Mango) et d’autres la 7740 (dernière en date).

Le souci survient lors de l’interprétation d’un message par le système d’exploitation. Par message, il faut comprendre en premier lieu SMS, mais pas seulement, car Windows Phone 7 traite la messagerie de manière unifiée. Conséquence : le problème est reproductible sur un message envoyé par Facebook ou Windows Live Messenger, le système traitant l’ensemble depuis une fonctionnalité centrale.


Toutefois, puisque chaque élément est lié aux autres, le problème peut surgir d’autres manières. Si l’utilisateur a par exemple épinglé un contact sur l’écran d’accueil et que ledit contact met à jour son statut Facebook, la vignette reflète le message et peut déclencher l'attaque.

Dans tous les cas, le message, s’il est spécialement conçu, peut en effet provoquer littéralement un déni de service. La fonction Messagerie se bloque et le hub des messages devient alors inaccessible, avant d’entraîner un « freeze » complet du téléphone. Un reboot ne change rien : le hub reste inaccessible, puisque le message y est toujours stocké.

La racine du problème a été découverte par Khaled Salameh avant d’être transmise à WinRumors. Sur ce dernier, le rédacteur Tom Warren indique qu’après tests, les informations ont été remontées de manière confidentielle à Microsoft pour analyse et correction.

En attendant qu’une mise à jour soit diffusée, il n’existe pas de solution pour déjouer l’attaque si elle se déclenche. On peut en limiter les portes d’entrée, notamment en supprimant les contacts épinglés sur l’écran d’accueil ou en coupant le lien vers Facebook, mais il reste également Live Messenger et surtout les SMS. Khaled Salameh a refusé de partager les détails de sa trouvaille avec d’autres que WinRumors pour éviter que ne se produise un « désastre ».

WinRumors note qu'iOS et Android ont eux aussi été les victimes de ce type de problème en leur temps. Côté iOS, une faille découverte par Charlie Miller affectait la version 3.0 du système et permettait de prendre le contrôle de l'iPhone via un SMS. Côté Android, un tel contrôle n'était pas possible mais un SMS pouvait provoquer l'extinction du smartphone.