Depuis 2 semaines Android est sur le devant de la scène, pour des questions de sécurité.

android-pwned

Elles s'appellent Stagefright et Certifi-gate. Que cachent ces jolis noms ? On fait le point sur les vulnérabilités qui touchent Android en ce moment. Avec 1,283 milliard de périphériques vendus en 2014 sur le globe, il s'agit du système d'exploitation numéro 1 et à ce titre de nombreux pirates s'y intéressent.

Un MMS, et ça repart

Fin juillet 2015 c'est la faille Stagefright qui était dévoilée. Découverte par deux ingénieurs en sécurité de l'entreprise Zimperium dans le code source d'Android Open Source Project (AOSP). Cette faille tire son nom de la biliothèque multimédia Stagefright utilisée pour la lecture de fichiers multimédias. Cette portion de code source n'est pas en Java mais en C++, voilà qui inquiète quand on connaît les possibilités de corruption de la mémoire avec ce langage.

95% des terminaux dans le monde seraient vulnérables, à partir d'Android 2.2 jusqu'à Lollipop 5.x. Pour exploiter cette vulnérabilité un MMS contenant du code malicieux suffit, avant même que l'utilisateur ne voit ce MMS, en effet Android récupère les MMS dès qu'ils arrivent. Mais il serait toutefois impossible de bypasser les notifications. L'attaquant peut ensuite à distance récupérer vos informations, écouter le microphone, télécharger vos fichiers.

Google a modifié le code source d'AOSP en moins de 48 heures avec un correctif mis à disposition. Quelques constructeurs ont diffusé cette mise à jour, d'autres le feront courant Août. En attendant il est déconseillé d'utiliser Hangout pour vos SMS/MMS, vous pouvez désactiver le téléchargement automatique des MMS dans la plupart des applications natives à votre téléphone. Certaines applications se sont mises à jour en désactivant le téléchargement automatique de MMS vidéos, c'est le cas de Textra. Sauf que la tentation sera forte chez les utilisateurs non avertis d'appuyer pour voir le MMS, même celui d'un inconnu...

Certifi-gate

Dévoilée la semaine dernière cette faille porte le doux nom de Certifi-gate, un jeu de mot entre Certificate et Gate qui signifie la porte (ouverte) du certificat ou encore l'affaire du certificat. Cette vulnérabilité se base sur les services d'assistance à distance implantés par certains constructeurs et opérateurs. On appelle ces outils les "mobile Remote Support Tool" ou mRST. Le code source AOSP n'est pas concerné, les gammes Nexus ne sont par exemple pas touchées.

C'est l'entreprise CheckPoint, spécialisée dans le domaine de la sécurité, qui a mis au jour celle-ci. En précisant qu'avec vulnérabilité il était possible de prendre le contrôle total d'un terminal pour récolter des données personnelles ou vous espionner. Il "suffit" de se faire passer pour l'opérateur ou le constructeur pour obtenir tous les accès sur le périphérique.

Selon CheckPoint cette faille toucherait certaines applications du Play Store comme le plugin Team Viewer ou Communi-Take.

Là encore c'est potentiellement des centaines de millions de périphériques concernés. Toutes les version d'Android sont concernées, y compris Android 5.1.1.

CheckPoint a créé l'application Certifi-gate Scanner permettant de savoir si votre périphérique est concerné par la faille.

Certains smartphones ne seront jamais corrigés

Malgré la menace qui court sur les utilisateurs, tous les modèles de smartphone ne bénéficieront pas d'une mise à jour. Chez Samsung seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note4 Edge sont concernés par la mise à jour, chez HTC ce serait les M7, M8 et M9 d'après NXI.

Attention toutefois car si vous avez "rooté" votre smartphone vous ne bénéficiez plus des mises à jour constructeur chez Samsung, en tout cas pas en OTA. C'était le cas avec mon S3 et j'ai profité d'une mise à jour en attente (via Kies) qui a malheureusement planté dès le début. J'ai du faire un emergency recovery, je pensais alors que j'allais repartir à zéro mais finalement je n'ai rien perdu (ouf!). Avant de vous lancer dans une manipulation périlleuse pensez à sauvegarder le contenu votre téléphone : sms/mms, APK + données d'application, photos, vidéos et répertoire s'il n'est pas synchronisé. Si vous avez une carte externe ça vous fera ça de moins à copier.

Dans le cas où vous avez installé une ROM custom, vous devrez également installer une version plus récente dès que son auteur aura corrigé les différentes failles, je parle ici surtout de Stagefright.

Une fois de plus je ne peux donc que vous conseiller d'éviter d'acheter un smartphone chez un opérateur, vous n'aurez pas un tas d'applications non désinstallables et de potentiels exploits qui ne seront jamais corrigés (ou dévoilés). Je déplore aussi les surcouches qui sont pointées du doigt, je n'ai pourtant rien contre elles mais c'est à cause d'elles que nous ne pouvons pas utiliser les correctifs de Google.

L'idéal serait probablement d'avoir deux circuits de mise à jour. L'un indépendant du fabriquant, à l'instar de Windows et de son Windows Update, et le second proposé par le fabricant ou opérateur. Mais il est clair que de tels changements en profondeur ne sont pas pour demain. Quand on voit qu'un constructeur comme Samsung ne va proposer de patch que sur une quantité très réduite, c'est tout à fait ridicule. Il est temps de passer sous une ROM alternative si vous êtes dans ce cas.

Enfin, évitez d'installer des APK sans passer par le Play Store car potentiellement vous savez que ça peut faire des chocapics. Et bon courage si vous proposez le BYOD dans votre société !

ps : vous pouvez indiquer le modèle de votre smartphone en commentaire en disant si vous êtes touchés ou non par la faille Certifi-gate. Le bulletin d'alerte de l'ANSSI

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter