Il semble que Google ne puisse décidément pas se débarrasser de la faille Stagefright. La découverte initiale remonte à presque trois mois, et plusieurs variantes de la brèche ont été détectées, obligeant plusieurs constructeurs à déployer des séries de correctifs. L’histoire recommence avec Stagefright 2.0, exploitable cette fois depuis un navigateur.
Le nom « Stagefright » provient de celui d'une bibliothèque système d’Android, libstragefright. Écrite en C++, elle est chargée de la lecture d’un grand nombre de formats multimédia, audio comme vidéo. La faille permettait en fait d’exécuter des instructions contenues dans un fichier, dès qu’elles étaient lues par la bibliothèque. Intégrée profondément dans Android, elle ne pouvait être désactivée et représentait dès lors un véritable danger.
Une faille très sérieuse dont Google a du mal à se débarrasser
Le cas le plus sérieux pouvait se manifester avec un simple MMS. Envoyé de nuit, pendant le sommeil de l’utilisateur, le contenu était préchargé et lu, les instructions étaient exécutées et un malware pouvait être téléchargé pour accomplir son méfait. Une fois l’opération terminée, le code avait suffisamment de droits pour effacer ses traces, de sorte qu’au réveil, l’utilisateur n’avait aucun moyen de savoir qu’un problème avait eu lieu.
Stagefright a eu le mérite en tout cas de relancer très sérieusement le sujet épineux de la gestion de la sécurité à long terme de la plateforme Android. Car si celle-ci reçoit régulièrement des mises à jour de sécurité, elles ne parviennent pas toujours à l’utilisateur. Il faut que son smartphone ou sa tablette soit assez récent pour être encore supporté par le constructeur. Google, Samsung et d’autres entreprises ont ainsi annoncé la mise en place d’un cycle mensuel, à la manière des Patch Tuesdays de Microsoft. Mais, là encore, seuls les appareils relativement récents en profitent.
Une version 2.0 qui exploite les métadonnées dans un navigateur
Et alors que tout le monde n’a pas encore été servi par les premiers correctifs, il faut déjà en prévoir d’autres. La société Zimperium, à l’origine de la découverte de Stagefright, revient avec une « version 2.0 » de la faille. Il s’agit plus précisément de la concordance de deux failles, une dans la bibliothèque libutils, l’autre dans libstragefright. La première est totalement nouvelle et Google a d’ailleurs créé un bulletin CVE spécifique. Selon Zimperium, c’est bien cette brèche (disponible sur toutes les versions à partir de la 1.0) qui permet d’activer la seconde.
Le vice-président de la recherche, Joshua Drake, explique sur le blog de l'entreprise que la faille peut être exploitée de plusieurs manières. Tout d’abord – et c’est la solution la plus simple – en attirant l’utilisateur sur une page web particulière, par n’importe quel moyen. Un pirate sur le même réseau pourrait également injecter le code malveillant via des techniques d’interception classiques (Man in the Middle) dans un flux en clair destiné au navigateur. Dans tous les cas, dès que les métadonnées sont lues, la bibliothèque exécute les instructions. Il s'agit donc à nouveau d'une faille RCE (Remote Code Execution), donc exploitable à distance.
Il suffit de ne cliquer sur rien
Le chercheur a indiqué au site Motherboard qu’il n’y avait rien à faire actuellement, à part sans doute vérifier les liens sur lesquels on clique (autant alimenter la psychose). Comme pour la première précédente de Stagefright, à peu près tous les appareils Android utilisés dans le monde pourraient être concernés, d'autant que les dernières mises à jour ne protègent pas de l'exploitation. Un Galaxy S6 parfaitement à jour par exemple y est donc vulnérable. Pour Zimperium, ce ne sont pas moins de 1,4 milliard d’appareils qui sont donc potentiellement exposés à ce risque. Potentiellement, car Joshua Drake précise : « Je ne peux vous dire que tous les téléphones sont vulnérables, mais la plupart le sont ».
Google est dans tous les cas informé de cette nouvelle variante. La faille centrale étant connue, il se pourrait que le développement d’un correctif ne prenne que peu de temps. Espérons d'ailleurs que la mise à jour soit déployée dès la prochaine série de bulletins mensuels.
