Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Faille Stagefright : un premier code d'exploitation publié à des fins de tests

Canons chargés
Mobilité 5 min
Faille Stagefright : un premier code d'exploitation publié à des fins de tests
Crédits : billyfoto/iStock

Il y a plus d’un mois, la faille de sécurité Stagefright dans Android défrayait la chronique par son extrême dangerosité, au point que Google et d’autres constructeurs avaient annoncé de nouvelles mesures. Plusieurs patchs ont été déployés, mais alors que seule une minorité des smartphones peut être mise à jour, les détails d’exploitation des failles deviennent publics, augmentant le danger.

La faille Stagefright tire son nom d’une bibliothèque Android nommé libstagefright. Un composant crucial puisque responsable de la lecture de nombreux contenus multimédias et pouvant donc être appelé par n’importe quelle application tierce, sans parler des services d’Android proprement dits. Stagefright recouvre cependant un ensemble de plusieurs brèches de sécurité, et les premières mises à jour n’en couvraient qu’une partie.

Une situation peu reluisante

Parallèlement aux patchs, certaines mises à jour d’applications permettaient de contourner en partie le problème. L’exploitation la plus sérieuse pouvait se faire via l’envoi par MMS d’une image ou d’un fichier multimédia contenant une séquence de code conçue spécifiquement pour déclencher l’exécution d’instructions arbitraires. Le contenu était lu par libstagefright avant même que l’utilisateur n’aille voir, pour que le résultat soit présenté directement. En théorie, un pirate pouvait s’attaquer à un smartphone, déclencher ses actions et effacer ses traces en quelques minutes. La mise à jour de Hangouts (qui peut gérer les SMS) bloquait ainsi ce chargement automatique, en attendant que des patchs règlent définitivement la question.

Les patchs, justement, ont commencé à être déployés ces dernières semaines, mais, problématique Android oblige, ils ne concernaient que la dernière révision du système. Conséquence, une vaste majorité (environ 95 %) des appareils pouvant être concernés ne seront pas corrigés, les failles restant exploitables. Or, les détails de ces failles sont maintenant publics, accentuant nettement le danger.

Un premier code permettant d'exploiter l'une des failles

Joshua Drake, vice-président de la recherche chez Zimperium, à l’origine de la découverte initiale, avait promis que ces informations deviendraient disponibles dès que suffisamment de patchs auraient été déployés, dont acte. Drake fournit un code permettant de tester l’exploitation de l’une des failles, celle qui ouvrait la voie d’une attaque silencieuse par MMS. Il fournit un script Python capable de générer un fichier MP4 contenant un code exécutable, et autorisant notamment une exploitation à distance.

Les informations et fichiers ne sont donnés qu’à des fins de tests et se destinent avant tout aux chercheurs, équipes de sécurité et autres administrateurs. Par ailleurs, cette exploitation n’est pas générique. Joshua Drake indique ainsi qu’elle n’a été testée que sur un Nexus (on ne sait pas lequel) exécutant Android 4.0.4. En outre, les conditions d’exécution peuvent varier sensiblement d’une fois sur l’autre, provoquant parfois des échecs. Le test n’est donc pas totalement fiable, mais puisque son auteur ne précise rien d’autre, on peut se demander si ce n’était clairement pas son intention. Il ajoute cependant que la faille exploitée ici est l’une de celles qui étaient moins facilement exploitables sous Android 5.0, grâce à des règles de compilation introduites par GCC 5.0. Cela étant, le problème autour de Stagefright est justement maximal sur les versions antérieures.

Les constructeurs invités à réagir plus rapidement

Mais si fournir les détails de cette faille augmente le danger, pourquoi les publier ? Selon Joshua Drake, la réponse est simple : motiver les constructeurs à fournir des correctifs de sécurité. Tous ne l’ont pas encore fait, et la situation des smartphones un peu anciens pose un vrai souci tant elle est trouble. On rappellera que Zimperium fournit une application capable de détecter la présence des failles et donc d’indiquer à l’utilisateur s’il est en danger. Malheureusement, au-delà de cette information, il ne peut strictement rien faire de plus que d’attendre un patch qui ne viendra peut-être jamais.

Rappelons également que la problématique de la sécurité sur Android a largement été relancée par cette faille aux conséquences encore difficilement cernables, car on imagine mal les pirates renoncer à l’exploitation de brèches disponibles sur des millions d’appareils au cours des prochains mois. Google avait donc communiqué pour annoncer qu’un nouveau cycle allait être mis en place pour diffuser sur une base mensuelle des mises à jour de sécurité, à la manière de Microsoft avec ses Patch Tuesdays.

Android doit encore faire ses preuves sur les corrections mensuelles

Le fait de proposer de telles mises à jour n’est pas une nouveauté en soi, mais la base régulière est bien une rupture. D’autant que Google a insisté sur le travail en cours avec les opérateurs notamment pour que les correctifs puissent naturellement s’écouler vers les utilisateurs, sans que personne n’en ralentisse le processus. Google, Samsung, LG, Motorola, Sony ou encore HTC ont réagi pour s’aligner sur ce nouveau rythme, mais il n’y aura aucun miracle : ces correctifs n’arriveront que pour les appareils récents et disposant de la dernière révision d’Android. Ce qui laissera encore une fois sur le carreau plus de 90 % des appareils.

Nous avons par ailleurs posé la question de ces négociations à Orange, Bouygues, SFR et Free et attendons actuellement un retour de leur part. On notera que Microsoft a plus ou moins promis la même chose avec Windows 10 Mobile, qui intègre Windows Update et est donc censé recevoir des correctifs sur une base régulière. Un problème qui n’existe pas chez Apple puisque les mises à jour sont proposées pour tous les appareils éligibles, au même moment et dans tous les pays. Un processus évidemment facilité par le fait que la firme contrôle le matériel et le logiciel.

16 commentaires
Avatar de flagos_ INpactien
Avatar de flagos_flagos_- 11/09/15 à 15:22:54

Vous savez si ce code marche avec la dernière mise a jour publiée cette semaine par Google sur les Nexus ?

Avatar de TGViYXJidTgy Abonné
Avatar de TGViYXJidTgyTGViYXJidTgy- 11/09/15 à 15:40:30

On rappellera que Zimperium fournit une application capable de détecter la présence des failles et donc d’indiquer à l’utilisateur s’il est en danger. Malheureusement, au-delà de cette information, il ne peut strictement rien faire de plus que d’attendre un patch qui ne viendra peut-être jamais.

Lien dans l'article :chinois:

Avatar de Nuigurumi Abonné
Avatar de NuigurumiNuigurumi- 11/09/15 à 16:09:27

C'est vraiment la misère les mises à jour d'Android. Mon S4 mini du boulot attend toujours son correctif. Il faut vraiment que les constructeurs et google s'améliore.
 Un OS MS est maintenu 10 ans minimum et chez apple si la dernière version d'ios peut s'installer, c'est bon.
 

Avatar de SmashGeek Abonné
Avatar de SmashGeekSmashGeek- 11/09/15 à 16:12:30

flagos_ a écrit :

Vous savez si ce code marche avec la dernière mise a jour publiée cette semaine par Google sur les Nexus ?

Sur mon N5 d'après l'application de Zimperium mon N5 n'est plus vulnérable avec la dernière mise à jour.

Avatar de thebcb Abonné
Avatar de thebcbthebcb- 11/09/15 à 16:20:14

La question se pose pour les produits qui ne sont plus suivis par les constructeurs.
Mon S2 à quand une mise à jour ?

 

Avatar de Lypik Abonné
Avatar de LypikLypik- 11/09/15 à 17:33:43

J'en ai un aussi et à mon avis nous pouvons toujours attendre, il a plusieurs années déjà ce modèle.

Sous Android, de toutes façons, dès que le téléphone se fait vieux, la solution est de se tourner vers une ROM alternative. Parce que perso, hors de question d'acheter un téléphone, je n'aime pas consommer bêtement comme ça, d'autant plus quand le matériel fonctionne très bien...

Avatar de frikakwa Abonné
Avatar de frikakwafrikakwa- 11/09/15 à 18:34:23

Joshua Drake indique ainsi qu’elle n’a été testée que sur un Nexus (on ne sait pas lequel) exécutant Android 4.0.4

Donc sur Nexus S ou Galaxy Nexus vu que le N4 est sorti sous JB (4.2) et la N7 sous 4.1. :chinois:
Du coup testé sur du matos qui n'est plus supporté par Google... gulp... ça peut faire mal cette faille! :transpi:

Édité par frikakwa le 11/09/2015 à 18:34
Avatar de thebcb Abonné
Avatar de thebcbthebcb- 11/09/15 à 18:41:05

Lypik a écrit :

J'en ai un aussi et à mon avis nous pouvons toujours attendre, il a plusieurs années déjà ce modèle.

Sous Android, de toutes façons, dès que le téléphone se fait vieux, la solution est de se tourner vers une ROM alternative. Parce que perso, hors de question d'acheter un téléphone, je n'aime pas consommer bêtement comme ça, d'autant plus quand le matériel fonctionne très bien...

Tout a fait d'accord avec toi. Mon S2 correspond encore largement à mes besoins. Je ne vois pas l’intérêt d'en changer.  En ce qui concerne son ancienneté il ne "date" que de 2011.   Et malheureusement je ne suis pas certain qu'une ROM alternative règle ce problème de sécurité. 
 
 édit : problème clavier

Édité par thebcb le 11/09/2015 à 18:41
Avatar de iosys Abonné
Avatar de iosysiosys- 11/09/15 à 19:03:34

"Un problème qui n’existe pas chez Apple puisque les mises à jour sont proposées pour tous les appareils éligibles, au même moment et dans tous les pays. Un processus évidemment facilité par le fait que la firme contrôle le matériel et le logiciel."
Et chez BlackBerry ? Vous avez essayer juste pour paraître un peu moins....

"Avec next impact, les minorités on les met à la poubelle", belle leçon d égalité des chances ;)

Et Bbry qui passe bientôt sur Android, on aura le choix entre le caca Apple ou la merde Android, ne reste plus que microsoft ou même jolla qui sent un peu plus la rose que tous les autres réunis :o ?

Toufoulcamp

Avatar de renaud07 INpactien
Avatar de renaud07renaud07- 11/09/15 à 22:51:22

J'ai aussi un S2, et ça serait quand même étonnant qu'une ROM alternative plus récente comme CM par exemple qui a commencé à publier les versions nightly de la 5.1.1, n’intègre pas de correctifs.

Par contre j'ai testé pendant une courte période une ROM de CM12 non officielle de XDA et elle était assez (voir très) lente, sans parler des petits bug par-ci par-là. Du coup je suis repassé sur la ROM kitkat officielle et c'est le jour et la nuit entre les deux.

J’espère que la version officielle sera plus fluide que celle de XDA...

J'ai fait le test avec Stagefright Detector sur kitkat et j'ai une faille de corrigé sur 6, donc a priori pour la 5.1.1 y'a pas de rasions que ça n'ai pas évolué dans le bon sens.

Édité par renaud07 le 11/09/2015 à 22:55
Il n'est plus possible de commenter cette actualité.
Page 1 / 2