Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Tout ceci n'est qu'une pub déguisée pour les Nexus
Mobilité 4 min
Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Alors même que les utilisateurs d’Android luttent déjà contre la faille Stagefright, une autre importante vulnérabilité a été découverte. Elle réside dans les outils inclus dans le système pour permettre aux OEM de déclencher des réparations à distance. Une bonne partie des appareils est atteinte, mais il n’y a actuellement rien à faire pour se débarrasser du problème.

Sale temps pour Android, et plus particulièrement pour sa sécurité. La faille sur Stagefright commence à peine à être corrigée qu’une autre ombre se manifeste déjà, accentuant largement le débat sur la sécurité du système et surtout la manière dont elle est gérée. On peut d’ailleurs sentir que Google est au courant qu’il y a de sérieux problèmes dans la distribution des mises à jour, puisque dans une annonce presque conjointe avec Samsung, on a appris que les correctifs de sécurité seraient distribués sur une base mensuelle, à la manière d’un Microsoft (les Patch Tuesdays).

Une faille dans les outils utilisés par les OEM pour le support

Et il faut rapidement que ce système se mette en place, même s’il ne va toucher que les générations raisonnablement récentes d’appareils. Une nouvelle vulnérabilité est en effet déjà là, et son potentiel de dégâts est tout aussi important que Stagefright. Elle se nomme Certifi-gate et réside dans les outils intégrés le plus souvent au cœur-même d’Android pour permettre aux OEM de prendre la main pour des corrections à distance.

Ces outils, les « mobile Remote Support Tool » (ou mRST), ne sont pas forcément installés sur la totalité des modèles de smartphones Android, mais ils sont quand même très courants. Selon les chercheurs qui ont découvert la faille, Ohad Bobrov et Avi Bashan de la société Check Point, ce sont tout de même des milliards d’appareils qui sont vulnérables. Et en cas d’exploitation active, il n’y a rien que les utilisateurs puissent faire pour s’en prémunir, à part éventuellement éteindre leur téléphone ou leur tablette. Ou posséder un Nexus.

Vol de données, captures d'écran, enregistrement de l'activité

Le problème réside en effet dans la manière dont les constructeurs (et/ou les opérateurs de téléphonie mobile) utilisent les certificats électroniques pour signer les outils. Seuls les smartphones et tablettes issus des OEM sont donc touchés et aucun des Nexus n’intègre les mRST. Quand ils sont présents, ils possèdent des droits root, que l’utilisateur ait « rooté » son appareil ou non. Des droits logiques dans une optique de réparation à distance : il faut que le technicien en charge de l’opération puisse réaliser ses manipulations. Mais la faille permet théoriquement à n’importe quelle application de faire appel aux mRST et, dès lors, de déclencher de nombreuses actions avec assez de privilèges pour se transformer en véritable aspirateur à données personnelles.

Car le souci ne serait pas si sérieux si les outils pouvaient être désinstallés, ce qui est impossible en l’état. Check Point a quand même publié une petite application qui vous permettra de savoir si votre appareil est vulnérable, mais autant le signaler : cela a de fortes chances d’être le cas si votre appareil provient d’une des entreprises concernées.

Et en cas d’exploitation, une application donnée peut ainsi s’emparer facilement de nombreuses informations, surveiller les frappes au clavier, enregistrer tout ce qui se passe sur l’écran, enregistrer tous les sons autour du téléphone ou même déclencher l’installation d’autres applications, qu’on imagine facilement malveillantes. Posséder la dernière révision d’Android (5.1.1) ne change rien à la situation et il n’y a aucune solution miracle. Les sociétés touchées sont Archos, BenQ, Broadcom, Bullitt, CloudProject, Gigaset, Hisense, HTC, Huaqin, Huawei, Intel, Lenovo, LGEMC, Longcheer, Medion, Oppo, Pantech, Positivio, Prestigio, Quanta, Samsung, TCL, TCT, Unitech. Selon la société, tous ces constructeurs ont été mis au courant et des correctifs sont en cours de développement.

Attendre encore une fois le correctif... pour ceux qui l'auront

Ce qui pose une nouvelle fois la question problématique des modèles qui seront concernés. Comme on l’a vu avec Stagefright, et en dépit d’une annonce importante dans ce domaine, les appareils prévus pour recevoir le correctif ne sont guère nombreux. Chez Samsung par exemple, seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note 4 Edge seront mis à jour. Chez HTC, les One M7, M8 et M9. Et malheureusement, il y a de fortes chances que les nouvelles mises à jour pour corriger la faille Certifi-gate concernent les mêmes modèles, les constructeurs venant clairement d’indiquer leurs priorités en cas de défaut majeur de sécurité.

Selon Google, il existe tout de même un facteur limitant : « Pour qu’un utilisateur soit affecté, il faudrait qu’il installe une application malveillante, ce que nous surveillons constamment avec VerifyApps et SafetyNet. Nous encourageons fortement les utilisateurs à n’installer des applications que depuis des sources de confiance, telles que Google Play ». VerifyApps est conçu effectivement pour faire remonter des données anonymes sur les applications qui seraient installées via d’autres méthodes, et Google se targue de pouvoir indiquer celles qui pourraient représenter un danger. Mais aucune barrière n’est absolue et il est tout à fait possible qu’une application passe au travers des mailles du filet, même s’il ne semble pas y avoir d’exploitation active de Certifi-gate actuellement (selon Google).

121 commentaires
Avatar de Gundar INpactien
Avatar de GundarGundar- 10/08/15 à 14:50:32

"Chez HTC, les One M7, M8 et M9."

Même pas les Desire ? M'en vais retourner sous Cyanogen si ils font rien :craint:

Avatar de risbo INpactien
Avatar de risborisbo- 10/08/15 à 14:53:14

Ahah, Samsung qui zape son Note 3
 
 Le support chez Android c'est vraiment déplorable 

Avatar de maestro321 INpactien
Avatar de maestro321maestro321- 10/08/15 à 14:53:49

risbo a écrit :

Ahah, Samsung qui zape son Note 3
 
 Le support chez AndroidSamsung c'est vraiment déplorable

:cap:

Édité par maestro321 le 10/08/2015 à 14:53
Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 10/08/15 à 14:56:07

:youhou: Je ne suis pas concerné !!!

Édité par FunnyD le 10/08/2015 à 14:56
Avatar de chris.tophe INpactien
Avatar de chris.tophechris.tophe- 10/08/15 à 14:57:08

Je commence à comprendre que gratuit, ca veut dire moins que low cost

Avatar de Lyaume Abonné
Avatar de LyaumeLyaume- 10/08/15 à 14:57:40

Je suis également assez étonné de ne pas voir cet appareil dans la liste de ceux qui seront mis-à-jour.
 
C'est vraiment un mauvais pas de Samsung pour ce coup. J'espère que les autres constructeurs ne feront pas pareils et que, peut être, Samsung revoit sa copie.

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 10/08/15 à 14:57:57

faut arrêter d'appeler 'machin-gate' le moindre problème technologique, ça en devient ridicule :roll:

(c'est pas envers Vincent mais la presse US en général qui nous sort ça..)

Avatar de m1k4 Abonné
Avatar de m1k4m1k4- 10/08/15 à 14:59:57

chris.tophe a écrit :

Je commence à comprendre que gratuit, ca veut dire moins que low cost

Bof, des failles 0day yen a dans beaucoup de logiciels (software, OS, etc), gratuit ou ultra chers ca change pas grand chose.

Avatar de js2082 INpactien
Avatar de js2082js2082- 10/08/15 à 15:00:23

Y a pas sony dans le lot?
 
Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes...

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 10/08/15 à 15:10:13

jb18v a écrit :

faut arrêter d'appeler 'machin-gate' le moindre problème technologique, ça en devient ridicule :roll:

(c'est pas envers Vincent mais la presse US en général qui nous sort ça..)

Ho ça va toi, avec ton comment-gate !
 

 
:transpi:  ==> []

Il n'est plus possible de commenter cette actualité.
Page 1 / 13