Faille Stagefright : un premier code d’exploitation publié à des fins de tests

Il y a plus d’un mois, la faille de sécurité Stagefright dans Android défrayait la chronique par son extrême dangerosité, au point que Google et d’autres constructeurs avaient annoncé de nouvelles mesures. Plusieurs patchs ont été déployés, mais alors que seule une minorité des smartphones peut être mise à jour, les détails d’exploitation des failles deviennent publics, augmentant le danger.

La faille Stagefright tire son nom d’une bibliothèque Android nommé libstagefright. Un composant crucial puisque responsable de la lecture de nombreux contenus multimédias et pouvant donc être appelé par n’importe quelle application tierce, sans parler des services d’Android proprement dits. Stagefright recouvre cependant un ensemble de plusieurs brèches de sécurité, et les premières mises à jour n’en couvraient qu’une partie.

Une situation peu reluisante

Parallèlement aux patchs, certaines mises à jour d’applications permettaient de contourner en partie le problème. L’exploitation la plus sérieuse pouvait se faire via l’envoi par MMS d’une image ou d’un fichier multimédia contenant une séquence de code conçue spécifiquement pour déclencher l’exécution d’instructions arbitraires. Le contenu était lu par libstagefright avant même que l’utilisateur n’aille voir, pour que le résultat soit présenté directement. En théorie, un pirate pouvait s’attaquer à un smartphone, déclencher ses actions et effacer ses traces en quelques minutes. La mise à jour de Hangouts (qui peut gérer les SMS) bloquait ainsi ce chargement automatique, en attendant que des patchs règlent définitivement la question.

Les patchs, justement, ont commencé à être déployés ces dernières semaines, mais, problématique Android oblige, ils ne concernaient que la dernière révision du système. Conséquence, une vaste majorité (environ 95 %) des appareils pouvant être concernés ne seront pas corrigés, les failles restant exploitables. Or, les détails de ces failles sont maintenant publics, accentuant nettement le danger.

Un premier code permettant d'exploiter l'une des failles

Joshua Drake, vice-président de la recherche chez Zimperium, à l’origine de la découverte initiale, avait promis que ces informations deviendraient disponibles dès que suffisamment de patchs auraient été déployés, dont acte. Drake fournit un code permettant de tester l’exploitation de l’une des failles, celle qui ouvrait la voie d’une attaque silencieuse par MMS. Il fournit un script Python capable de générer un fichier MP4 contenant un code exécutable, et autorisant notamment une exploitation à distance.

Les informations et fichiers ne sont donnés qu’à des fins de tests et se destinent avant tout aux chercheurs, équipes de sécurité et autres administrateurs. Par ailleurs, cette exploitation n’est pas générique. Joshua Drake indique ainsi qu’elle n’a été testée que sur un Nexus (on ne sait pas lequel) exécutant Android 4.0.4. En outre, les conditions d’exécution peuvent varier sensiblement d’une fois sur l’autre, provoquant parfois des échecs. Le test n’est donc pas totalement fiable, mais puisque son auteur ne précise rien d’autre, on peut se demander si ce n’était clairement pas son intention. Il ajoute cependant que la faille exploitée ici est l’une de celles qui étaient moins facilement exploitables sous Android 5.0, grâce à des règles de compilation introduites par GCC 5.0. Cela étant, le problème autour de Stagefright est justement maximal sur les versions antérieures.

Les constructeurs invités à réagir plus rapidement

Mais si fournir les détails de cette faille augmente le danger, pourquoi les publier ? Selon Joshua Drake, la réponse est simple : motiver les constructeurs à fournir des correctifs de sécurité. Tous ne l’ont pas encore fait, et la situation des smartphones un peu anciens pose un vrai souci tant elle est trouble. On rappellera que Zimperium fournit une application capable de détecter la présence des failles et donc d’indiquer à l’utilisateur s’il est en danger. Malheureusement, au-delà de cette information, il ne peut strictement rien faire de plus que d’attendre un patch qui ne viendra peut-être jamais.

Rappelons également que la problématique de la sécurité sur Android a largement été relancée par cette faille aux conséquences encore difficilement cernables, car on imagine mal les pirates renoncer à l’exploitation de brèches disponibles sur des millions d’appareils au cours des prochains mois. Google avait donc communiqué pour annoncer qu’un nouveau cycle allait être mis en place pour diffuser sur une base mensuelle des mises à jour de sécurité, à la manière de Microsoft avec ses Patch Tuesdays.

Android doit encore faire ses preuves sur les corrections mensuelles

Le fait de proposer de telles mises à jour n’est pas une nouveauté en soi, mais la base régulière est bien une rupture. D’autant que Google a insisté sur le travail en cours avec les opérateurs notamment pour que les correctifs puissent naturellement s’écouler vers les utilisateurs, sans que personne n’en ralentisse le processus. Google, Samsung, LG, Motorola, Sony ou encore HTC ont réagi pour s’aligner sur ce nouveau rythme, mais il n’y aura aucun miracle : ces correctifs n’arriveront que pour les appareils récents et disposant de la dernière révision d’Android. Ce qui laissera encore une fois sur le carreau plus de 90 % des appareils.

Nous avons par ailleurs posé la question de ces négociations à Orange, Bouygues, SFR et Free et attendons actuellement un retour de leur part. On notera que Microsoft a plus ou moins promis la même chose avec Windows 10 Mobile, qui intègre Windows Update et est donc censé recevoir des correctifs sur une base régulière. Un problème qui n’existe pas chez Apple puisque les mises à jour sont proposées pour tous les appareils éligibles, au même moment et dans tous les pays. Un processus évidemment facilité par le fait que la firme contrôle le matériel et le logiciel.