La société de sécurité FireEye a indiqué hier soir qu’Android était touché par une faille de sécurité vieille d’au moins cinq ans. Elle réside dans les API fournies par Qualcomm pour exploiter ses SoC. Le correctif a été diffusé le 1er mai, mais les anciens appareils sont une fois de plus laissés à la porte.
La dernière flopée mensuelle de mises jour de sécurité diffusée par Google contenant une rustine pour une faille assez sévère vieille de plusieurs années. C’est FireEye qui en explique les détails sur son blog, dans un billet publié hier soir. Estampillée CVE-2016-2060, cette brèche est apparue quand le fondeur Qualcomm a introduit plusieurs API permettant de relier les capacités de ses puces au service réseau d’Android, netd.
Une faille vieille de cinq ans
Ces API ayant été proposées dès 2011, la faille a donc cinq ans et concerne un très grand nombre d’appareils. On la retrouve dans toutes les versions d’Android sorties depuis, y compris dans les plus récentes si elles n’ont pas été mises à jour. Comme souvent, les moutures les plus anciennes seront les plus touchées, à cause de l’absence de certains mécanismes de sécurité.
Ce sont en effet Android 4.3 et les versions antérieures qui seront les plus facilement attaqués. Android 4.4 a introduit SEAndroid (Security Enhancements for Android), fournissant au système mobile plusieurs protections importantes, notamment pour le démon (service) netd et limitant les autorisations des applications.
Car c’est bien ici que réside tout le problème. La faille permet en effet à une application n’ayant que des autorisations faibles de profiter de droits qu’elle n’est pas censée avoir. FireEye explique : « CVE-2016-2060 permet à une application a priori bénigne d’accéder à des données sensibles, dont les SMS et l’historique des appels, ainsi que la possibilité de réaliser des actions comme modifier les réglages du système et désactiver l’écran verrouillé ».
Ce délai a laissé amplement le temps à d'éventuels pirates de se servir de la brèche, même si FireEye indique ne pas être au courant de la moindre attaque active pour le moment. Ce qui pourrait bien entendu changer avec la publication des détails.
Les trois quarts des appareils ne seront pas mis à jour
FireEye insiste surtout sur le cas des appareils sous Android 4.3 ou autre version plus ancienne, car non seulement ils sont les plus vulnérables, mais ils ont de grandes chances de ne jamais être mis à jour. Le cas est moins grave pour Android 4.4, mais reste problématique. Rappelons en effet que les mises à jour pour Android publiées par Google ne concernent que les moutures 5.1 et 6.0 du système.
On reste donc sur la même problématique que Stagefright : la fragmentation de la plateforme joue un rôle désastreux pour la sécurité générale. Selon les derniers chiffres publiés par Google, plus d’un tiers des utilisateurs utilisent Android 4.3 ou une version plus ancienne. D’ailleurs, si l’on souhaite se concentrer uniquement sur les moutures capables d’être « patchées » mensuellement, alors seuls 26,9 % des terminaux sont concernés.
Une bonne décision, arrivée bien tardivement
Dans le sillage de Stagefright, de nombreux constructeurs ont annoncé des changements dans la politique de support, avec des engagements clairs autour des bulletins mensuels de Google. Ces derniers existaient déjà avant, mais la firme a bel et bien mis en place à cette occasion une vraie distribution des correctifs, et non plus simplement des informations. Samsung, LG, Sony et les autres ont accompagné le mouvement.
Cette décision, cruciale pour la sécurité des utilisateurs, était attendue depuis longtemps. Un trop grand nombre d’entreprises avaient tendance à considérer que le support technique et le service client s’arrêtaient avec l’acte d’achat. Parallèlement, la mise à jour vers les nouvelles versions majeures d’Android avait tendance à repousser les renouvellements de smartphones. Mais cette bascule a tardé, et le lent renouvellement du parc joue en défaveur de la sécurité.
