Qualcomm : une faille trouvée et corrigée, mais seulement pour Android 5.x et 6.0

L'histoire, tel le ressac des marées... 12
En bref
image dediée
Sécurité
Vincent Hermann

Qualcomm fait à nouveau parler de lui pour des raisons de sécurité. Le constructeur est en effet victime d’une faille de sécurité, qu’il a confirmée et promis de corriger. Elle réside dans la TrustedZone, une fonctionnalité propre aux puces ARM.

Cette TrustedZone est apparue avec la version 6 de l’architecture ARM. Il s’agit d’extensions de sécurité qui servent à créer un espace protégé dans lequel le smartphone va stocker certaines clés de sécurité. Elles ne sont disponibles pour personne, ni pour le système d’exploitation, ni pour le constructeur. Seule la puce ARM peut les manipuler. Du moins en théorie.

Une chaine de vulnérabilités

La découverte du problème remonte à avril 2015, quand un utilisateur portant le pseudo « laginimaineb » s’est mis en tête de creuser dans cette zone protégée. Par rétroingénierie, il s’est amusé à aller observer le fonctionnement très bas niveau des puces Snapdragon. Sur son blog « Bits, please », il indique avoir utilisé un Nexus 5 et découvert une « chaine de vulnérabilités » autorisant l’escalade de privilèges pour à peu près tout et n’importe quoi.

Les puces Snapdragon se retrouvent dans de très nombreux smartphones Android. Or, cette « chaine de vulnérabilités » a permis beaucoup plus récemment à laginimaineb de récupérer directement la clé MasterKey de Qualcomm dans la TrustedZone. À partir de là, et comme le note Slashgear, les bidouilleurs ont la capacité de modifier profondément leur appareil, en ouvrant plus facilement par exemple le bootloader. Malheureusement, et comme on s’en doute, la même chaine peut conduire des pirates à récupérer d’autant plus facilement des informations.

Des dangers sérieux

Pour comprendre le danger d’une telle brèche de sécurité, il faut savoir qu’en cas d’activation du chiffrement intégral du stockage (FDE), la clé est stockée dans la TrustedZone. Cette clé est à son tour chiffrée par le mot de passe choisi par l’utilisateur pour déverrouiller son appareil. Si le pirate peut récupérer la clé, il pourra tenter une attaque par force brute pour tenter de deviner le mot de passe. Si celui-ci est trop faible, il sera trouvé et permettra donc de piocher dans le contenu du smartphone.

L’autre danger tient à l’escalade des privilèges. Derrière cette appellation se cache un mécanisme aboutissant à des privilèges plus élevés que ne devrait en avoir un utilisateur ou une application. Un malware par exemple pourrait obtenir les droits nécessaires pour à peu près n’importe quelle action. Comme si une application sous Windows obtenait seule les droits administrateur.

Dans la foulée, laginimaineb avait indiqué avoir prévenu Qualcomm. D’ailleurs, le billet de blog sur sa découverte avait été contrôlé par le fondeur pour qu’aucun détail trop précis ne figure dans les explications. Il ne semble pourtant pas que l’entreprise ait rapidement réagi. Il n’y a pas eu de communication pendant environ un an, alors que la découverte de la clé MasterKey a cette fois provoqué une réaction.

Qualcomm confirme que le patch a été distribué aux constructeurs

Dans un autre tweet, laginimaineb indique que la chaine de failles est tout à fait corrigeable. Qualcomm a d’ailleurs fait parvenir hier soir un communiqué à Slashgear pour le confirmer : « Qualcomm travaille activement à identifier et corriger les failles de sécurité dans ses logiciels. La vulnérabilité en question dans la TrustedZone a déjà été identifiée et corrigée dans un correctif mis à disposition des clients ». Elle porte d'ailleurs le matricule CVE-2015-6639.

En réalité, le patch a déjà été distribué en janvier dernier pour les versions 5.1.1 et 6.0 d'Android. On retrouve ici le même cas de figure que d'autres failles dans les deux dernières années : seuls les appareils récents munis de la dernière mise à jour du système peuvent installer le correctif. Les bulletins mensuels de Google sont clairement un pas dans la bonne direction mais sont hors de portée de pratiquement les trois quarts des appareils Android en circulation. Pour les 27 % environ d'utilisateurs sous Android 5.x et 6.0, le danger semble donc passé.


chargement
Chargement des commentaires...