Alors même que les utilisateurs d’Android luttent déjà contre la faille Stagefright, une autre importante vulnérabilité a été découverte. Elle réside dans les outils inclus dans le système pour permettre aux OEM de déclencher des réparations à distance. Une bonne partie des appareils est atteinte, mais il n’y a actuellement rien à faire pour se débarrasser du problème.
Sale temps pour Android, et plus particulièrement pour sa sécurité. La faille sur Stagefright commence à peine à être corrigée qu’une autre ombre se manifeste déjà, accentuant largement le débat sur la sécurité du système et surtout la manière dont elle est gérée. On peut d’ailleurs sentir que Google est au courant qu’il y a de sérieux problèmes dans la distribution des mises à jour, puisque dans une annonce presque conjointe avec Samsung, on a appris que les correctifs de sécurité seraient distribués sur une base mensuelle, à la manière d’un Microsoft (les Patch Tuesdays).
Une faille dans les outils utilisés par les OEM pour le support
Et il faut rapidement que ce système se mette en place, même s’il ne va toucher que les générations raisonnablement récentes d’appareils. Une nouvelle vulnérabilité est en effet déjà là, et son potentiel de dégâts est tout aussi important que Stagefright. Elle se nomme Certifi-gate et réside dans les outils intégrés le plus souvent au cœur-même d’Android pour permettre aux OEM de prendre la main pour des corrections à distance.
Ces outils, les « mobile Remote Support Tool » (ou mRST), ne sont pas forcément installés sur la totalité des modèles de smartphones Android, mais ils sont quand même très courants. Selon les chercheurs qui ont découvert la faille, Ohad Bobrov et Avi Bashan de la société Check Point, ce sont tout de même des milliards d’appareils qui sont vulnérables. Et en cas d’exploitation active, il n’y a rien que les utilisateurs puissent faire pour s’en prémunir, à part éventuellement éteindre leur téléphone ou leur tablette. Ou posséder un Nexus.
Vol de données, captures d'écran, enregistrement de l'activité
Le problème réside en effet dans la manière dont les constructeurs (et/ou les opérateurs de téléphonie mobile) utilisent les certificats électroniques pour signer les outils. Seuls les smartphones et tablettes issus des OEM sont donc touchés et aucun des Nexus n’intègre les mRST. Quand ils sont présents, ils possèdent des droits root, que l’utilisateur ait « rooté » son appareil ou non. Des droits logiques dans une optique de réparation à distance : il faut que le technicien en charge de l’opération puisse réaliser ses manipulations. Mais la faille permet théoriquement à n’importe quelle application de faire appel aux mRST et, dès lors, de déclencher de nombreuses actions avec assez de privilèges pour se transformer en véritable aspirateur à données personnelles.
Car le souci ne serait pas si sérieux si les outils pouvaient être désinstallés, ce qui est impossible en l’état. Check Point a quand même publié une petite application qui vous permettra de savoir si votre appareil est vulnérable, mais autant le signaler : cela a de fortes chances d’être le cas si votre appareil provient d’une des entreprises concernées.
Et en cas d’exploitation, une application donnée peut ainsi s’emparer facilement de nombreuses informations, surveiller les frappes au clavier, enregistrer tout ce qui se passe sur l’écran, enregistrer tous les sons autour du téléphone ou même déclencher l’installation d’autres applications, qu’on imagine facilement malveillantes. Posséder la dernière révision d’Android (5.1.1) ne change rien à la situation et il n’y a aucune solution miracle. Les sociétés touchées sont Archos, BenQ, Broadcom, Bullitt, CloudProject, Gigaset, Hisense, HTC, Huaqin, Huawei, Intel, Lenovo, LGEMC, Longcheer, Medion, Oppo, Pantech, Positivio, Prestigio, Quanta, Samsung, TCL, TCT, Unitech. Selon la société, tous ces constructeurs ont été mis au courant et des correctifs sont en cours de développement.
Attendre encore une fois le correctif... pour ceux qui l'auront
Ce qui pose une nouvelle fois la question problématique des modèles qui seront concernés. Comme on l’a vu avec Stagefright, et en dépit d’une annonce importante dans ce domaine, les appareils prévus pour recevoir le correctif ne sont guère nombreux. Chez Samsung par exemple, seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note 4 Edge seront mis à jour. Chez HTC, les One M7, M8 et M9. Et malheureusement, il y a de fortes chances que les nouvelles mises à jour pour corriger la faille Certifi-gate concernent les mêmes modèles, les constructeurs venant clairement d’indiquer leurs priorités en cas de défaut majeur de sécurité.
Selon Google, il existe tout de même un facteur limitant : « Pour qu’un utilisateur soit affecté, il faudrait qu’il installe une application malveillante, ce que nous surveillons constamment avec VerifyApps et SafetyNet. Nous encourageons fortement les utilisateurs à n’installer des applications que depuis des sources de confiance, telles que Google Play ». VerifyApps est conçu effectivement pour faire remonter des données anonymes sur les applications qui seraient installées via d’autres méthodes, et Google se targue de pouvoir indiquer celles qui pourraient représenter un danger. Mais aucune barrière n’est absolue et il est tout à fait possible qu’une application passe au travers des mailles du filet, même s’il ne semble pas y avoir d’exploitation active de Certifi-gate actuellement (selon Google).
Commentaires (121)
#1
“Chez HTC, les One M7, M8 et M9.”
Même pas les Desire ? M’en vais retourner sous Cyanogen si ils font rien " />
#2
Ahah, Samsung qui zape son Note 3
Le support chez Android c’est vraiment déplorable
#3
#4
" /> Je ne suis pas concerné !!!
#5
Je commence à comprendre que gratuit, ca veut dire moins que low cost
#6
Je suis également assez étonné de ne pas voir cet appareil dans la liste de ceux qui seront mis-à-jour.
C’est vraiment un mauvais pas de Samsung pour ce coup. J’espère que les autres constructeurs ne feront pas pareils et que, peut être, Samsung revoit sa copie.
#7
faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule " />
(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)
#8
#9
Y a pas sony dans le lot?
Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes…
#10
#11
Le HS se gâte…
#12
Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.
Et de mémoire seuls les téléphones sous Android font ça.
#13
D’où l’interêt de ne pas acheter de téléphone à l’opérateur, ça raccourci déjà un peu la chaîne.
#14
un jour il vont nous trouver la faille bill Gate(s) ^^
ah oui pardons ca s’appel Microsoft :)
#15
Bon, du coup, toujours pas de remise en cause sur le système de distribution d’Android ?
C’est en train de tellement partir en couille… Et je suis sûr que l’on est pas au bout de nos peines. Il doit y avoir encore plein de faille.
#16
Il n’y a pas Motorola!
#17
Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??
#18
#19
" />
#20
Krogoth a écrit :
Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??
Le mot recent ne veut rien dire chez Samsung pour les MAJ, le galaxy S3 4G a une rom plus recente que le S5 Mini par exemple :) et les 2 tel non brander, le S3 est en 4.4.4 et le S5 mini en 4.4.2
#21
#22
perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^
#23
#24
" />
#25
Du coup, j’ai mis à jour ma tablette de 4.4.4 en 5.1, et pour l’instant, je n’ai constaté que des défauts de navigabilité (mineurs mais bon). Les fonctions prennent maintenant + de clics ou de mouvements pour s’activer (écran de déverrouillage, fonction avion, BP consommée, % de batterie, etc). Quand j’éteins ma tablette et la rallume, il garde en mémoire toutes les applications ouvertes (!!!) quand je fais ensuite défiler les applications.
C’est triste comme Google fait empirer l’expérience utilisateur au fil des saisons (boite de réception fouillis sur Gmail avec l’apparition des onglets, icônes incompréhensibles du grand public pour ex modifier l’objet du mail quand tu réponds, difficulté de trouver le lien de partage pour un album G+, etc).
#26
#27
gâteux-gate ?
–>[]
#28
Merci, j’avais pas vu. Ca veut dire qu’ils sont meilleurs que les autres ?
#29
justement, c’est le seul dont le nom est justifié, dériver toutes les broutilles qu’on voit récemment sur le même modèle de nom, je trouve ça stupide " />
#30
#31
Ce n’est pas Google qui est à blâmer, si les constructeurs proposaient de base de l’Android stock pur et dur, et leurs personnalisations en options, on n’en serait pas là, ils sont responsable du peu de réactivité qu’ils ont sur le support et les mises à jour, google proposant généralement très vite les correctifs.
Le problème se situe surtout à ce niveau là.
De mon côté, sur smartphone Asus Zenfone 2 551ml (intel atom z3580 x86_64 [email protected] + 4Go de ram) avec CyanogenMod 12.1 installé en remplacement du système android customisé par Asus (ZenUI), non concerné par la faille.
CyanogenMod est un bon fork, quand le téléphone est bien supporté, d’autant que de base on peut esquiver toutes les applications google, et profiter d’un niveau de vie privée acceptable, l’OS intégrant un gestionnaire de permissions. :)
#32
le Golden-gate aussi " />
#33
#34
C’est qui est con , c’est que le suffixe -gate ne veut étymologiquement rien dire.
Ils ont juste détaché un nom propre totalement anodin en 2. " />
#35
Va y avoir quelques gâteries à coup de sword dans 5 minutes " />
#36
#37
Boarf, de toute façon Mme Michu est déjà exposée à presque tous les vecteurs d’attaque possibles, et les power users doivent utiliser une rom custom qui intégrera rapidement le patch.
Après, si vous voulez éviter ce mode de distribution, reste les Nexus, Apple, et Jolla. (peut être Win10 ? )
#38
La Galaxy Tab S n’est pas concernée ?? où ils s’en foutent de leur tablette “haut de gamme” ?
Sinon, quand on est “root”, on peut shooter l’appli/fichier ? existe-t-il une procédure quelque part ?
#39
#40
#41
#42
Youpi, mon Xiaomi MI4 n’est pas concerné ! Les vilains pirates des internets ne peuvent pas espionner mon téléphone, juste le gouvernement chinois ! " />
#43
Puisque personne ne la fait…
Benjamin Gate ?
Je suis loin ==> [ ]
#44
C’est le même problème avec les Windows Phone, seul Apple n’a pas ces limitations
#45
Cool je ne suis pas touché avec cyanogenmod sur un moto g 2014. Ce qui est pratique avec cyanogenmod, c’est que les des eux sont reactifs et font des Mans ttes les semaines, ce qui n’est pas le cas de messieurs les operateurs et constructeur de merde
#46
#47
Je pressent que pas mal de chercheurs en sécu vont vouloir trouver LA faille qui fera le plus gros buzz. Du coup on est partit pour une petite série de news sur des failles Android.
Ça aura le mérite d’essayer de tirer la sécurité de l’OS vers le haut.
/my life/ A priori sous cyanogen je suis tranquille /my life/
#48
#49
#50
Justement, aux dernières nouvelles, Windows 10 permettrait de lever ces limitations.
#51
On est encore en train de cracher sur Win 10 et les donnés qu’il prenne et vous mettez un lien pour une aplli, censé vérifié la faille, qui prend les identités du tel et les réseaux lol, c’est tellement magique !!
#52
Au final, si je comprend bien, c’est une faille de sécurité due à un outil tiers … un peu comme une faille flash ..
il y a une boite qui vend des outils aux OEM, elle fait de la merde, tous les OEM l’installent et ça devient la faute d’Android … cool " />
#53
Ils supportent le S3 et ils zappent le Note 3 ??? Sont fous ? " />
#54
Le s3 (toutes versions de soc confondues) est un des téléphone les plus présent dans le parc Android, heureusement que Samsung va le patcher !
#55
Xperia z3 compact, pas de failles ! \o/
#56
hum … blackberry … symbian (bon ca ok … c est mort …)
#57
Et les galaxy a3, a5, a7 ? Milieu de gamme = pas de support ?
#58
#59
En effet à ma grande surprise Acer n’est pas concerné avec la tablette A500. De toutes façons je n’aurai pas espéré de support dans le cas contraire…
Par contre le Galaxy SII est vulnérable et y’aura pas de MàJ de la part de Samsung… :/.
Quelle galère ces MàJ avec Android en devant passer par l’acceptation du constructeur puis du FAI. C’est du n’importe quoi.
Y’a plus qu’à passer sous une ROM alternative ;-).
#60
Ils sont quand même vachement sympas de nous proposer une app qui dit si on est touché ou pas. Et en échange ils ne prélèvent… bah, que des infos sur tous les appareils. Sacré deal pour se constituer une super base de données sur la peur, c’est pas comme si ça changeait quelque chose quelque soit le verdict du scanner.
Prochaine étape: Un antivirus placebo…. Ah, déjà fait. Bon, un app qui dit “Yo”… Mince, aussi… Toutes les apps utiles sont prises ont dirait.
Aujourd’hui, on a appris qu’une application malveillante peut être… malveillante (et donc exploiter des failles)! Merci Check Point.
#61
Vu la quantité de références que l’on trouve chez certains constructeurs, bon allez, chez samsung, ça fait pas un peu light de voir que seul les Galaxy S3 et+ et les Note 4 seront mis à jour pour une faille de sécurité???
Et le mRST, il est pas open source? comment se fait-il que de tel vulnérabilités aient pu filtrer sur androïd???
" />" />
#62
Ca fait mal… surtout que l’ensemble du parc est encore sous garantie…
J’avais choisi ce téléphone pensant que le support durerait au moins deux ans, voir trois…
‘fin bon, ça reste mieux que ce que HTC avait fait avec le Desire Z…
Prochain téléphone : un BlackBerry ou un Windows Mobile 10
#63
#64
Avec j’aurai un peu de mal à aller glandouiller sur Nxi malheureusement. ^^;
#65
j’ai switché d’un iPhone 4 à un Samsung Galaxy Alpha. Même si je suis plus que satisfait de mon Galaxy, je reconnais que l’iPhone a quand même des qualités qui lui sont propre comme le sentiment que tu pourras garder ton téléphone 2-3 ans avant que celui semble obsolète. Android semble de plus en plus couvert de faille, Google repose sur ses acquis et ne corrige que la dernière version d’Android. Il est temps qu’un troisième acteur intervienne afin de les 2 mastodontes que son iOS et Android ne se repose pas sur leurs acquis
#66
#67
#68
#69
Je n’évoque même pas ceux qui ont payé des flag chips pour avoir autant de médiocrité, tout ça pour avoir quelque chose qui ressemble à un produit Apple.
De là à accuser ces constructeurs de colombophilie, si je puis dire, il n’y a qu’un pas…
#70
#71
#72
Ce vieux bashing anti Java doublé d’un puissant complexe de supérioté est tellement idiot que je ne saurais te suivre.
Et pourtant qu’est-ce que je déteste Java !
#73
#74
#75
#76
Donc ce n’est pas a la portée du premier pseudo pirate. Mais très utile pour n’importe quelle personne avec un petit peu de moyens. Installer une application une fois, invisible sur le téléphone, et c’est open bar ensuite. C’est idéal pour écouter l’ensemble des conversations de grands patrons français, de la chancelière allemande ou de brésiliens haut placés.
Au final c’est quand même Google le responsable : vu le nombre de constructeurs touchés cela signifie que c’est Google qui n’a pas mis a disposition une API optimisée et sécurisée pour ces besoins. Du coup bidouillage avec des bugs et failles …
#77
:facepalm:
Donc les failles de Flash c’est la faute de Microsoft, Apple et même les dev de linux ? " />
Bah oui, ils sont incapable de faire un OS sécurisé !
Les moyens sécurisés elles y sont !
La question est : est ce que les devs du soft sont pas assez con pour les exploiter.
Si les OEM veulent se laisser des backdoor pour pouvoir faire des conneries, c’est forcément la faute de google ?
#78
Payer pour aller en prison ? Pi’ quoi encore ? :p
#79
Tu confonds Certifi-gate et Stagefright.
#80
Quoi ? Même le Galaxy S3 sérieux ? Je n’y croyais plus personnellement. Déjà qu’ils avaient tout bonnement arrêté les mises à jour, je suis agréablement surpris de constater qu’ils vont faire une exception pour le S3 " />
#81
#82
#83
Oui, c’est vrai, mais dans les autres cas, un patch est disponible, rapidement ou pas mais jamais on entend dire :“désolé on peut rien faire”
#84
Certes mais ce n’est pas la faute d’Android, les purs produits Android (Nexus) sont mises à jour, le problème vient des constructeurs et/ou opérateurs qui modifient le système…
Tu n’as totalement tort car Google les autorisent à faire ces modifs, mais au final en regardant bien, le problème n’est pas Android.
#85
revenez sur Blackberry si vous voulez de la sécurité !!
#86
Ça me conforte dans l’idée d’être passé sous Firefox OS…
#87
de toute façon, si tu ne viens pas à Blackberry, c’est BB qui ira à Android http://www.frandroid.com/rumeurs/302139_bleckberry-venice-de-nouveaux-cliches-mo…
" />
#88
#89
#90
#91
#92
#93
Et ce qui va protéger Mme Michu, c’est l’intérêt d’aller chercher une appli en dehors de Google Play. Pour Mme Michu, il est nul, du coup, la question de savoir si c’est facile ou non ne se pose même pas vraiment.
Pour le bricoleur du dimanche, il faut aller chercher une option dans le 3° niveau de menu, et les avertissements sont clairs, c’est pas quelque chose qu’on fait par erreur.
#94
#95
#96
#97
#98
Du coup on aurait pas trouvé LA faille qui permet de rooter n’importe quel téléphone ?
#99
#100
“Commentaire de atomusk supprimé
Lol, c’est les effets de la double lame : NXi, le seul site ou les modos se swordent entre eux!
" />
" />
#101
Il ne faut pas espérer quoi que ce soit avec Samsung. Installe une cyanogen et une partie de ces failles (StageFright) sont déjà corrigés.
J’installe les nightlies et aucun problème sur mon Note 3.
#102
non c’est de l’auto - modération de réponse à un Hors sujet " />
#103
ha, c’est donc toi qui t’es auto-censuré après réflexion? Bon c’est de la double lame, mais ça provient du même rasoir. “La perfection au masculin”
" />
#104
il parlait de la news “Alphabet”, je lui répondais d’attendre la news, donc quand elle est sortie, j’ai modéré les 2 " />
#105
C’est bien moins romantique comme tu l’expliques, je m’étais imaginé les doubles lames à la bonne vieille méthode bien moyenâgeuse (mode pulp fiction), bref.
/me repart sur d’autres fantasmes." />
#106
#107
J’aime le fait que mon précédent post ait été supprimé simplement par ce que j’ai marqué “emoroid” plutôt qu’“Android”.
Ça sent un peu l’excès de zèle là, Non ?
#108
Ce qui me tue c’est qu’ils continuent a être actif pour le S4 (voir même le S3 dans cette news) alors que ces smartphone sont bien plus anciens (et moins cher à leur sortie donc moins haut de gamme).
#109
Ca dépend, tu veux une seconde couche ? " />
Je modère autant que possible les m$, les iSheep, pourquoi je modérerai pas emoroid ? " />
#110
@Vincent Au fait, pourrais-tu nous préciser ta source concernant la liste des smartphones éligibles au correctif chez Samsung ?
Merci.
#111
#112
J’ai pas que ça à faire d’aller modifier vos commentaires " />
tu veux pas que je corrige tes fautes d’orthographe aussi (déjà si je corrigeais les miennes " />)
#113
Si j’ai bien compris les nexus ne sont pas inpactés. Du coup pourquoi mettre une photo de Nexus 6 pour illustrer l’article?
#114
parce que mettre tous les téléphones impactés serait plus compliqué ? " />
" />
#115
Encore faut il qu il y ai une rom dispo pour ton tel … pour le galaxy a3 … c est niet
#116
En même temps quitte à prendre un tel sous Android autant le prendre “nu” directement au créateur d’Android, à savoir donc Google.
Jamais de soucis pour avoir une mise à jour, pas de surcouche inutile, etc etc.
#117
Sauf si tu veux pouvoir utiliser une carte SD, une batterie extractible, un stylet à 1024 niveaux de pression avec reconnaissance d’écriture… Bah non un Nexus n’est pas une bonne idée. :/
#118
Je me serais attendu au moins a avoir UN des modèles concernés :p