La société de sécurité FireEye a indiqué hier soir qu’Android était touché par une faille de sécurité vieille d’au moins cinq ans. Elle réside dans les API fournies par Qualcomm pour exploiter ses SoC. Le correctif a été diffusé le 1er mai, mais les anciens appareils sont une fois de plus laissés à la porte.
La dernière flopée mensuelle de mises jour de sécurité diffusée par Google contenant une rustine pour une faille assez sévère vieille de plusieurs années. C’est FireEye qui en explique les détails sur son blog, dans un billet publié hier soir. Estampillée CVE-2016-2060, cette brèche est apparue quand le fondeur Qualcomm a introduit plusieurs API permettant de relier les capacités de ses puces au service réseau d’Android, netd.
Une faille vieille de cinq ans
Ces API ayant été proposées dès 2011, la faille a donc cinq ans et concerne un très grand nombre d’appareils. On la retrouve dans toutes les versions d’Android sorties depuis, y compris dans les plus récentes si elles n’ont pas été mises à jour. Comme souvent, les moutures les plus anciennes seront les plus touchées, à cause de l’absence de certains mécanismes de sécurité.
Ce sont en effet Android 4.3 et les versions antérieures qui seront les plus facilement attaqués. Android 4.4 a introduit SEAndroid (Security Enhancements for Android), fournissant au système mobile plusieurs protections importantes, notamment pour le démon (service) netd et limitant les autorisations des applications.
Car c’est bien ici que réside tout le problème. La faille permet en effet à une application n’ayant que des autorisations faibles de profiter de droits qu’elle n’est pas censée avoir. FireEye explique : « CVE-2016-2060 permet à une application a priori bénigne d’accéder à des données sensibles, dont les SMS et l’historique des appels, ainsi que la possibilité de réaliser des actions comme modifier les réglages du système et désactiver l’écran verrouillé ».
Ce délai a laissé amplement le temps à d'éventuels pirates de se servir de la brèche, même si FireEye indique ne pas être au courant de la moindre attaque active pour le moment. Ce qui pourrait bien entendu changer avec la publication des détails.
Les trois quarts des appareils ne seront pas mis à jour
FireEye insiste surtout sur le cas des appareils sous Android 4.3 ou autre version plus ancienne, car non seulement ils sont les plus vulnérables, mais ils ont de grandes chances de ne jamais être mis à jour. Le cas est moins grave pour Android 4.4, mais reste problématique. Rappelons en effet que les mises à jour pour Android publiées par Google ne concernent que les moutures 5.1 et 6.0 du système.
On reste donc sur la même problématique que Stagefright : la fragmentation de la plateforme joue un rôle désastreux pour la sécurité générale. Selon les derniers chiffres publiés par Google, plus d’un tiers des utilisateurs utilisent Android 4.3 ou une version plus ancienne. D’ailleurs, si l’on souhaite se concentrer uniquement sur les moutures capables d’être « patchées » mensuellement, alors seuls 26,9 % des terminaux sont concernés.
Une bonne décision, arrivée bien tardivement
Dans le sillage de Stagefright, de nombreux constructeurs ont annoncé des changements dans la politique de support, avec des engagements clairs autour des bulletins mensuels de Google. Ces derniers existaient déjà avant, mais la firme a bel et bien mis en place à cette occasion une vraie distribution des correctifs, et non plus simplement des informations. Samsung, LG, Sony et les autres ont accompagné le mouvement.
Cette décision, cruciale pour la sécurité des utilisateurs, était attendue depuis longtemps. Un trop grand nombre d’entreprises avaient tendance à considérer que le support technique et le service client s’arrêtaient avec l’acte d’achat. Parallèlement, la mise à jour vers les nouvelles versions majeures d’Android avait tendance à repousser les renouvellements de smartphones. Mais cette bascule a tardé, et le lent renouvellement du parc joue en défaveur de la sécurité.
Commentaires (45)
#1
Y a un pont, mais finalement c’est quand-même un vendredi ordinaire
#2
“FireEye reached out to Qualcomm in January 2016 and subsequently worked
with the Qualcomm Product Security Team to coordinate this blog release
and security advisory.”
La faille a été dévoilée en Janvier 2016. La NSA a largement eu le temps de jouer avec…
#3
Ca toucherais que les ordiphone avec des processeurs qualcom ou tous ?
#4
L’intérêt d’avoir un Nexus. Les mises à jour de sécurité publiées chaque mois.
#5
Révélée à Qualcomm oui, mais pas publiquement.
#6
Encore un moyen de forcer les gens à renouveler prématurément leur smartphone : ne pas livrer les patches de sécurité !!!
#7
Mais Google peut très bien rajouter la détection de cette “attaque” dans l’analyse des applis avant leur mise en ligne sur le Play Store.
Ce qui limiterait grandement le risque d’exploitation
(en pratique, ça ne sera donc possible QUE via l’installation d’une appli tierce vérollée)
#8
c’est plus globalement liée au fractionnement d’android.
Les téléphones d’un certain âge (plus ou moins jeunes selon les constructeurs … ) n’ont pas le droit aux dernières version d’android. Du coup déployer de nouvelles API en maintenant une exécution stable et sans perte de fonctionnalités pour ces anciennes versions couteraient trop cher.
#9
ou de l’exécution de code malveillant par un site vérolé. ou d’un fichier vérolé transféré sur le tel. Les appli ne sont pas le seul point d’entrée.
#10
Le lien entre mise-à-jour de sécurité et nouvelles APIs ???
" />
#11
La faille en question est dans les API Qualcomm. J’imagine que leur correction passe par une maj des API également. non ?
#12
Je commence a en avoir marre d’Android.
Non pas que le système soit mauvais mais toute la politique Google et l’impossibilité de s’en protéger si son smartphone/tablette n’est pas rooté(e).
Les vraies applis qui permettent de protéger sa vie privée sont même interdites du play store.
Même IOS est plus protecteur de ce côté maintenant (alors que c’est Apple qui a initié ces viols).
Et maintenant cette volonté affichée de ne pas corriger les failles… comment dire… même microsoft assure des maj (KB) pour ses vieux OS.
Si vous avez des avis sur des alternatives (WinMobile, BlackBerry, …), je suis preneur.
#13
#14
Le I veut dire interface:
Changer le code d’une «lib» peut se faire sans modifier l’interface.
Et quand on dit «bug dans telle API», c’est le plus souvent un abus de langage pour dire «bug dans le code qui implémente cette API».
Par ailleurs, quand on décide de changer la définition d’une interface, on peut s’arranger (sauf cas très particulier) pour le faire de manière de manière à conserver la compatibilité.
Genre: «On a oublié de préciser que telle chaine de caractères en entrée devait obéir à certaines conditions. Tous les utilisateurs bien intentionnés se limitent évidemment à ce cas d’usage. On va rajouter une vérification qui rejettera les appels litigieux»
Cela étant, il n’empêche que maj. de sécurité ont bien du mal à être effectivement mises à disposition des utilsateurs. Les étapes à franchir:
(on voit à cette occasion la plaie des téléphones avec surcouche opérateur).
#15
Ben tu cite les 2 altérnative viable! W10M (sauf manque de quelque appli) ou ios! ^^
#16
Cyanogenmod ? ( oui, bien trapu à installer, mais que du bonheur avec un vieux flaship : LG G2 pour moi ).
#17
#18
#19
A non mais je dis bien W10M donc un lumnia et c’est tt!
" />
#20
#21
Blackberry met à jour son Priv sous Android day one.
Samsung presque.
LG : mon G4 est toujours sous patch de sécurité de mars… (maj en même temps que Marshmallow).
Comme je l’ai déjà dit : une bonne grosse catastrophe de sécurité pend au nez d’Android. Y a que ça qui fera bouger les choses : un vrai accident avec une vraie compromission de qqes millions de téléphones. C’est triste d’en être là. C’est comme les grandes catastrophe industrielles : pour un bon nombre, une prise en compte du retour d’expérience les auraient évitées.
Perso, j’aime moyen la fermeture excessive d’iOS (ce qui le protège en même temps). Du coup, je suis sur BB Priv. Windows Mobile est tranquille : c’est comme les mac d’il y a qqes années, peu d’utilisateurs = peu de menaces.
Pas grand chose d’autre, en attendant qu’éventuellement Sailfish OS arrive sur un téléphoen qu’on peut acheter.
#22
Y a pas de soucis avec WM8.
#23
Bah il y a eut des MAJ sur pas mal quand même! Perso aujourd’hui c’est sur qu’il faut mieu un 950⁄950 XL Bon après il faut mieu un Iphone c’est sur!
" />
#24
#25
Pour le moment. En effet, et on aura de la chance si personne ne trouve un autre moyen. d’exploiter tout ça.
Le playstore n’est pas non plus le point d’entrée unique pour les appli dans le système de Google. Cette ouverture provoque une certaine porosité aux contrôles de sécurités voulu par google.
#26
Oui enfin Cyanogen n’est pas parfait et des bug persistent.
TV-Out is non-functional
Camera randomly stops working, requiring a reboot.
After boot, phone needs to be put to sleep and woken to be able to enter passcode.
Source : https://wiki.cyanogenmod.org/w/Known_Issues_page_for_t0lte
#27
#28
Où sont les trolls sur MS maintenant?
" />
#29
Petite question du coup :
Est-ce qu’on peut faire une image complète du système avant d’installer cyanogenmod et la remettre en cas de souci ?
J’ai commencé à regarder, je n’ai pas trouvé de réponse vraiment claire.
#30
Nandroid backup
" />
" /> )
Perso google et samsung me saoule au plus au point, le premier pour ne pas mettre de pression pour forcer les maj de sécurité (ou bypasser le constructeur a ce niveau la ) et le second pour avoir abandonner le s4 qui roule comme un charme sous 6.0.1 (et qui en terme de caractéristiques fait jeu égal avec le N5 qui lui est maj
#31
Merci.
" />
#32
Bon, du coup, tous les samsung avec enyxos, et androphone basé sur des soc intel ou autre ne sont pas touché ?
#33
A bah j’ai précisé dès le début un téléphone W10M !
" /> et oui c’est roots mais ca a l’air de faire le taf! :d
#34
Justement. Tu viens de mettre le doigt là où ça fait mal.
Pour moi c’est intolérable cette volonté d’obsolescence programmée des appareils sous des prétextes divers (tel que le suivi des vieux appareils). Ils n’avaient qu’à fournir un OS non modifié hein (AOSP)…
Même si c’est des simples patchs, quel est le fabricant (LG, Samsung, HTC,…) qui les distribue systématiquement et à temps? Les MAJ, cela devrait être fait comme pour OSX, IOS, Windows et Linux : faites par l’OS et non pas par le constructeur (dont les intérêts sont différents). C’est là le plus gros fail d’Android.
Le fail c’est aussi la volonté marquée de Google à réduire (voire interdire) les applications de réelle sécurité sur leur store car contraire à leur politique et obligeant à rooter son phone et à consulter des stores alternatifs (F-Droid, Amazon,…) pour trouver son bonheur mais aussi avec d’autres risques.
Le fail c’est les Google apps (obligatoirement pré-installées) : quelqu’un s’est réellement penché sur les droits qu’elles s’octroient sur nos données personnelles? sur notre vie privée? Je l’ai fait et c’est SIDERANT… Comment la CNIL peut autoriser ça?
Si Android sans les Google Apps est sûr ce n’est vraiment pas le cas quand tu y ajoutes les Google Apps.
#35
Je me posais la question justement et voulais regarder les prises de libertés d’android sur nos vies privées.. Tu as des exemples d’abus ? (c’est pour en parler au boulot car on est tous Android pour le moment, mais notre DSI se dit très protectrice de nos données et des siennes…). Quid des téléphones chiffrés ?
Par contre, je comprends pas ce que vous dites par Google qui interdit les vraies apps de sécurité dans son store?
Ps : pour la maj qui devrait être faite par OS comme sur PC, +1
#36
Les surcouches sont la force et la faiblesse d’Android.
De même que la possibilité laissée aux constructeurs d’intégrer leur propre hardware.
On ne peut pas blâmer Google de ne pas fournir de MAJ à des OS conçu pour fonctionner sur du matériel dont-il n’ont même pas accès aux sources (exemple : processeurs exynos de Samsung…).
Android est un système libre. Cela a ses avantages et ses inconvénients. Personnellement j’ai opté pour des raisons de sécurité pour des terminaux de la gamme Nexus, ce qui résout le problème.
Pour ce qui est des question de vie privée, tu peux te passer d’utiliser toutes les apps Google. Tu peux même les désactiver si tu le souhaites. Pour pousser plus loin, tu peux flasher des ROM comme Cyanogen qui en sont dépourvues.
Maintenant il faut savoir que si Google s’intéresse à toi, c’est surtout par le biais de tes métadonnées plutôt que de tes données.
#37
J’ai un S4, il n’y a plus de màj depuis la 5.0.1, comment as tu installé la 6.0.1 ?
#38
Android a quand même un gros défaut de conception de base s’il n’est pas possible à son éditeur de pouvoir le maintenir sans casser les surcouches réalisées par les intégrateurs.
Les logiciels libres ont pourtant ce problème en permanence avec les matériels dont les pilotes sont conçus par ingénierie inversée parce que le fabricant ne veut pas produire de logiciel dédié pour autre que que Machin. Et pourtant, ça n’empêche pas trouze milliards de distributions Linux d’exister et de pouvoir être maintenues sans dépendre du bon vouloir du fabricant du hardware.
Le problème c’est que le smartphone a été conçu de base comme ne pouvant pas fonctionner sur autre chose que le software avec lequel il est vendu (à moins de bricoler ou d’utiliser quelques rares modèles conçus pour) car son équivalent du BIOS d’un PC est complètement verrouillé.
Et aujourd’hui, ils payent les pots cassés de cette limitation absurde avec une catastrophe sécuritaire à grande échelle.
#39
J’ai flashé cette version : 6.0.1 aosp.
" />
Jamais eu de problèmes (bon il peut toujours y avoir des bugs mineurs).
Si jamais t’as besoin d’aide hésite pas a me pm
#40
Le souci est qu’il n’existe aucune méthode d’analyse automatique fiable (tant chez Google que chez Apple) pour arriver une possibilité d’attaque.
#41
C’est sûr qu’après, ça dépend des modèles. C’est bien pour ça que je réserve mon avis à la seule utilisation de cyanogenmod sur des vieux flagship. ( Galaxy S2, puis LG G2 )
#42
tel quel,non.
Tu dois d’abord rooter ton tel, puis installer un bootloader alternatif ( un mini-systeme) comme TWRP.
Après ça, booter sur TWRP, puis faire une sauvegarde de ta rom d’origine ( mais qui sera rootee ).
lien contenant des liens utiles :
http://forum.xda-developers.com/lg-g2/development/boot-g2-hybrid-bootstacks-t318…
#43
Merci
" />
Ca veut dire qu’ils se foutent vraiment de notre gueule.
Je n’utilise pas ANT+, ce ne sera pas une perte.
#44
Clairement. De toute façon, tous les appareils qui peuvent faire tourner LP peuvent faire tourner MM.
#45