Depuis hier, l'histoire se répand comme une traînée de poudre : le BlackPhone aurait été « rooté » en cinq minutes seulement. Coup de massue pour le smartphone ultra sécurisé ? Comme bien souvent, les choses sont loin d'être aussi simples. Explications.
Au début de l'année, Silent Circle et Geeksphone dévoilaient leur Blackphone, un smartphone de 4,7 pouces fonctionnant sur une version largement modifiée d'Android. Il mise tout sur la sécurité et la confidentialité, notamment avec la possibilité de chiffrer intégralement vos données. Il est donc évidemment attendu au tournant et le salon BlackHat qui se tenait il y a quelques jours était l'occasion de tester sa résistance.
Si l'on en croit certains retours, les résultats ne seraient pas à la hauteur : Justin Case (alias @TeamAndIRC) aurait « rooté » le téléphone en moins de cinq minutes. Mais les choses ne sont pas aussi simples que cela avec, en premier lieu, l'histoire des cinq minutes. En effet, il s'agit du temps nécessaire afin d'identifier une vulnérabilité, mais pas pour arriver à prendre le contrôle du smartphone.
@Bukowsky bad facts, never claimed root in 5 minutes
— Justin Case (@TeamAndIRC) 11 Août 2014
Quoi qu'il en soit, Justin Case annonce avoir découvert trois moyens d'attaquer le Blackphone. Premièrement en accédant au menu du debug USB, ensuite en détournant une application censée effacer les données afin de monter en privilège et enfin en passant d'un simple utilisateur à « root ».
Dans un billet, Dan Ford, responsable de la sécurité du Blackphone, répond point par point. Tout d'abord, concernant le debug USB. Il indique qu'un problème aurait été découvert juste avant l'envoi du smartphone en production et, plutôt que de retarder cette étape, il a été désactivé temporairement. Pour la petite histoire, il s'agit d'un bug pouvant entraîner un démarrage en boucle infinie du téléphone lorsque le chiffrement était activé. Dan Ford ajoute que ce menu « caché » reviendra via une mise à jour qui sera prochainement déployée. Pour lui, il ne s'agit donc pas d'une faille.
Concernant le second point, la faille a en fait déjà été identifiée et corrigée le 31 juillet, avec une mise à jour déployée le 1er août (PrivateOS 1.0.2). Un point confirmé par Juste Case via ce tweet où il précise ne pas avoir mis à jour son smartphone. Le troisième point n'est par contre pas évoqué en détail et pour cause : il n'aurait finalement pas été présenté. « Nous pensons que cette vulnérabilité touche de nombreux fabricants OEM et pas uniquement le Blackphone. Quand elle sera rendue publique, nous proposerons une mise à jour plus vite que n'importe quel OEM » affirme le représentant de la société, visiblement sûr de lui.
Dans un autre message publié sur Twitter, @TeamAndIRC dresse un portrait assez peu flatteur de ses propres découvertes : « configuration non recommandée [NDLR : mise à jour non effectuée], accès physique, mot de passe utilisateur, pas de chiffrement, firmware non mis à jour. Impraticable comme une attaque dans la pratique ». L'honneur du Blackphone est donc à peu près sauf... du moins pour le moment.
Du côté de Blackphone, on se dit prêt en cas de découverte d'une faille : « nous contrôlons les mises à jour OTA, et nous sommes dans la capacité de boucher des failles dès qu'elles sont découvertes ». En effet, il est tout simplement impossible de garantir une fiabilité à 100 % dans le domaine de la sécurité informatique, mais il est néanmoins possible de limiter la casse, et surtout d'être réactif en cas de problème. C'est justement sur ce dernier point que le Blackphone doit maintenant faire ses preuves.
