Alors même que les utilisateurs d’Android luttent déjà contre la faille Stagefright, une autre importante vulnérabilité a été découverte. Elle réside dans les outils inclus dans le système pour permettre aux OEM de déclencher des réparations à distance. Une bonne partie des appareils est atteinte, mais il n’y a actuellement rien à faire pour se débarrasser du problème.
Sale temps pour Android, et plus particulièrement pour sa sécurité. La faille sur Stagefright commence à peine à être corrigée qu’une autre ombre se manifeste déjà, accentuant largement le débat sur la sécurité du système et surtout la manière dont elle est gérée. On peut d’ailleurs sentir que Google est au courant qu’il y a de sérieux problèmes dans la distribution des mises à jour, puisque dans une annonce presque conjointe avec Samsung, on a appris que les correctifs de sécurité seraient distribués sur une base mensuelle, à la manière d’un Microsoft (les Patch Tuesdays).
Une faille dans les outils utilisés par les OEM pour le support
Et il faut rapidement que ce système se mette en place, même s’il ne va toucher que les générations raisonnablement récentes d’appareils. Une nouvelle vulnérabilité est en effet déjà là, et son potentiel de dégâts est tout aussi important que Stagefright. Elle se nomme Certifi-gate et réside dans les outils intégrés le plus souvent au cœur-même d’Android pour permettre aux OEM de prendre la main pour des corrections à distance.
Ces outils, les « mobile Remote Support Tool » (ou mRST), ne sont pas forcément installés sur la totalité des modèles de smartphones Android, mais ils sont quand même très courants. Selon les chercheurs qui ont découvert la faille, Ohad Bobrov et Avi Bashan de la société Check Point, ce sont tout de même des milliards d’appareils qui sont vulnérables. Et en cas d’exploitation active, il n’y a rien que les utilisateurs puissent faire pour s’en prémunir, à part éventuellement éteindre leur téléphone ou leur tablette. Ou posséder un Nexus.
Vol de données, captures d'écran, enregistrement de l'activité
Le problème réside en effet dans la manière dont les constructeurs (et/ou les opérateurs de téléphonie mobile) utilisent les certificats électroniques pour signer les outils. Seuls les smartphones et tablettes issus des OEM sont donc touchés et aucun des Nexus n’intègre les mRST. Quand ils sont présents, ils possèdent des droits root, que l’utilisateur ait « rooté » son appareil ou non. Des droits logiques dans une optique de réparation à distance : il faut que le technicien en charge de l’opération puisse réaliser ses manipulations. Mais la faille permet théoriquement à n’importe quelle application de faire appel aux mRST et, dès lors, de déclencher de nombreuses actions avec assez de privilèges pour se transformer en véritable aspirateur à données personnelles.
Car le souci ne serait pas si sérieux si les outils pouvaient être désinstallés, ce qui est impossible en l’état. Check Point a quand même publié une petite application qui vous permettra de savoir si votre appareil est vulnérable, mais autant le signaler : cela a de fortes chances d’être le cas si votre appareil provient d’une des entreprises concernées.
Et en cas d’exploitation, une application donnée peut ainsi s’emparer facilement de nombreuses informations, surveiller les frappes au clavier, enregistrer tout ce qui se passe sur l’écran, enregistrer tous les sons autour du téléphone ou même déclencher l’installation d’autres applications, qu’on imagine facilement malveillantes. Posséder la dernière révision d’Android (5.1.1) ne change rien à la situation et il n’y a aucune solution miracle. Les sociétés touchées sont Archos, BenQ, Broadcom, Bullitt, CloudProject, Gigaset, Hisense, HTC, Huaqin, Huawei, Intel, Lenovo, LGEMC, Longcheer, Medion, Oppo, Pantech, Positivio, Prestigio, Quanta, Samsung, TCL, TCT, Unitech. Selon la société, tous ces constructeurs ont été mis au courant et des correctifs sont en cours de développement.
Attendre encore une fois le correctif... pour ceux qui l'auront
Ce qui pose une nouvelle fois la question problématique des modèles qui seront concernés. Comme on l’a vu avec Stagefright, et en dépit d’une annonce importante dans ce domaine, les appareils prévus pour recevoir le correctif ne sont guère nombreux. Chez Samsung par exemple, seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note 4 Edge seront mis à jour. Chez HTC, les One M7, M8 et M9. Et malheureusement, il y a de fortes chances que les nouvelles mises à jour pour corriger la faille Certifi-gate concernent les mêmes modèles, les constructeurs venant clairement d’indiquer leurs priorités en cas de défaut majeur de sécurité.
Selon Google, il existe tout de même un facteur limitant : « Pour qu’un utilisateur soit affecté, il faudrait qu’il installe une application malveillante, ce que nous surveillons constamment avec VerifyApps et SafetyNet. Nous encourageons fortement les utilisateurs à n’installer des applications que depuis des sources de confiance, telles que Google Play ». VerifyApps est conçu effectivement pour faire remonter des données anonymes sur les applications qui seraient installées via d’autres méthodes, et Google se targue de pouvoir indiquer celles qui pourraient représenter un danger. Mais aucune barrière n’est absolue et il est tout à fait possible qu’une application passe au travers des mailles du filet, même s’il ne semble pas y avoir d’exploitation active de Certifi-gate actuellement (selon Google).
