Pour Zvelo, la sécurité de Google Wallet est décidément trop faible

Le rootage n'explique pas tout 10
Vincent Hermann
Le lundi 13 février, nous avons vu que la sécurité du portefeuille numérique Wallet de Google était remise en question par la société de sécurité Zvelo. Cette dernière indiquait que le code PIN d’un utilisateur pouvait être retrouvé si le smartphone Android était rooté. Google avait répliqué que le rootage était un facteur particulièrement limitant, mais Zvelo ne lâche pas l’affaire.

wallet google offers

Pour Google, le souci vient du rootage

Rooter son téléphone Android revient à débloquer les droits administrateurs, ce qui permet en retour d’effectuer des actions qui ne sont normalement pas autorisées. Dans le cadre d’Android, basé sur Linux, cela signifie installer des applications sans limites particulières. Et c’est justement ce que Zvelo pouvait accomplir : installer un logiciel capable de tester rapidement les 10 000 combinaisons d’un code PIN à quatre chiffres.

Pour Google, le simple fait de réclamer le rootage du téléphone limite d’autant la capacité d’exploitation de la technique. Les smartphones rootés représentent en effet une minorité face au nombre total d’appareils. En outre, Google a précisé que le fait de procéder au rootage sur un téléphone disposant de Wallet provoquerait dans la plupart des cas un effacement des données. Ce qui, pour Zevlo, n’est pas suffisant.

Pour Zvelo, le rootage ne devrait même pas compter

L’entreprise estime pour sa part que le rootage n'efface pas toujours les données de Wallet. En outre, le fait de rooter ou pas son téléphone ne devrait avoir aucune incidence sur la sécurité et la fiabilité de Wallet, et c’est bien là que réside tout le problème pour Zevlo, qui ajoute : « Il existe des approches plus sécurisées pour enregistrer les donnes, comme les stocker dans un conteneur chiffré avec un mot de passe fort, en gardant certaines parties des informations dans le cloud ou les protéger par un élément NFC sécurisé ».

Cette forme de condamnation ne concerne d’ailleurs pas que qu’Android puisque iOS est également concerné. Zvelo estime que dans le cas de données très sensibles comme des paiements sans contacts, une discussion devrait avoir lieu sur une thématique bien précise : doit-on se reposer uniquement sur la sécurité interne des systèmes d’exploitation ?

En outre, Zvelo aurait reproduit sa démonstration sur un Galaxy Nexus équipé de la toute dernière révision d’Android. Elle prouve pour la société qu’il ne suffit pas de mettre à jour le système pour être mieux protégé. De plus, Zvelo affirme que des failles permettant des escalades de privilèges sont bien présentes dans Android 4.0 (Ice Cream Sandwich). Il y en a notamment deux, qui sont actuellement corrigées dans le noyau Linux, mais il faut attendre pour Android une nouvelle mouture.

Zvelo conclut en indiquant qu’elle en « seulement en train de gratter la surface de ce terrain évoluant rapidement ». Une phrase qui rappelle d’ailleurs les propos de Google qui indiquait encore « apprendre » dans le domaine du portefeuille numérique. Mountain View a d’ailleurs confirmé que le problème potentiel sur les cartes prépayées, dont nous discutions également lundi, avait été corrigé.