(5 vote(s), 
Loading...Depuis 2 semaines Android est sur le devant de la scène, pour des questions de sécurité.
Elles s'appellent Stagefright et Certifi-gate. Que cachent ces jolis noms ? On fait le point sur les vulnérabilités qui touchent Android en ce moment. Avec 1,283 milliard de périphériques vendus en 2014 sur le globe, il s'agit du système d'exploitation numéro 1 et à ce titre de nombreux pirates s'y intéressent.
Un MMS, et ça repart
Fin juillet 2015 c'est la faille Stagefright qui était dévoilée. Découverte par deux ingénieurs en sécurité de l'entreprise Zimperium dans le code source d'Android Open Source Project (AOSP). Cette faille tire son nom de la biliothèque multimédia Stagefright utilisée pour la lecture de fichiers multimédias. Cette portion de code source n'est pas en Java mais en C++, voilà qui inquiète quand on connaît les possibilités de corruption de la mémoire avec ce langage.
95% des terminaux dans le monde seraient vulnérables, à partir d'Android 2.2 jusqu'à Lollipop 5.x. Pour exploiter cette vulnérabilité un MMS contenant du code malicieux suffit, avant même que l'utilisateur ne voit ce MMS, en effet Android récupère les MMS dès qu'ils arrivent. Mais il serait toutefois impossible de bypasser les notifications. L'attaquant peut ensuite à distance récupérer vos informations, écouter le microphone, télécharger vos fichiers.
Google a modifié le code source d'AOSP en moins de 48 heures avec un correctif mis à disposition. Quelques constructeurs ont diffusé cette mise à jour, d'autres le feront courant Août. En attendant il est déconseillé d'utiliser Hangout pour vos SMS/MMS, vous pouvez désactiver le téléchargement automatique des MMS dans la plupart des applications natives à votre téléphone. Certaines applications se sont mises à jour en désactivant le téléchargement automatique de MMS vidéos, c'est le cas de Textra. Sauf que la tentation sera forte chez les utilisateurs non avertis d'appuyer pour voir le MMS, même celui d'un inconnu...
Certifi-gate
Dévoilée la semaine dernière cette faille porte le doux nom de Certifi-gate, un jeu de mot entre Certificate et Gate qui signifie la porte (ouverte) du certificat ou encore l'affaire du certificat. Cette vulnérabilité se base sur les services d'assistance à distance implantés par certains constructeurs et opérateurs. On appelle ces outils les "mobile Remote Support Tool" ou mRST. Le code source AOSP n'est pas concerné, les gammes Nexus ne sont par exemple pas touchées.
C'est l'entreprise CheckPoint, spécialisée dans le domaine de la sécurité, qui a mis au jour celle-ci. En précisant qu'avec vulnérabilité il était possible de prendre le contrôle total d'un terminal pour récolter des données personnelles ou vous espionner. Il "suffit" de se faire passer pour l'opérateur ou le constructeur pour obtenir tous les accès sur le périphérique.
Selon CheckPoint cette faille toucherait certaines applications du Play Store comme le plugin Team Viewer ou Communi-Take.
Là encore c'est potentiellement des centaines de millions de périphériques concernés. Toutes les version d'Android sont concernées, y compris Android 5.1.1.
CheckPoint a créé l'application Certifi-gate Scanner permettant de savoir si votre périphérique est concerné par la faille.
Certains smartphones ne seront jamais corrigés
Malgré la menace qui court sur les utilisateurs, tous les modèles de smartphone ne bénéficieront pas d'une mise à jour. Chez Samsung seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note4 Edge sont concernés par la mise à jour, chez HTC ce serait les M7, M8 et M9 d'après NXI.
Attention toutefois car si vous avez "rooté" votre smartphone vous ne bénéficiez plus des mises à jour constructeur chez Samsung, en tout cas pas en OTA. C'était le cas avec mon S3 et j'ai profité d'une mise à jour en attente (via Kies) qui a malheureusement planté dès le début. J'ai du faire un emergency recovery, je pensais alors que j'allais repartir à zéro mais finalement je n'ai rien perdu (ouf!). Avant de vous lancer dans une manipulation périlleuse pensez à sauvegarder le contenu votre téléphone : sms/mms, APK + données d'application, photos, vidéos et répertoire s'il n'est pas synchronisé. Si vous avez une carte externe ça vous fera ça de moins à copier.
Dans le cas où vous avez installé une ROM custom, vous devrez également installer une version plus récente dès que son auteur aura corrigé les différentes failles, je parle ici surtout de Stagefright.
Une fois de plus je ne peux donc que vous conseiller d'éviter d'acheter un smartphone chez un opérateur, vous n'aurez pas un tas d'applications non désinstallables et de potentiels exploits qui ne seront jamais corrigés (ou dévoilés). Je déplore aussi les surcouches qui sont pointées du doigt, je n'ai pourtant rien contre elles mais c'est à cause d'elles que nous ne pouvons pas utiliser les correctifs de Google.
L'idéal serait probablement d'avoir deux circuits de mise à jour. L'un indépendant du fabriquant, à l'instar de Windows et de son Windows Update, et le second proposé par le fabricant ou opérateur. Mais il est clair que de tels changements en profondeur ne sont pas pour demain. Quand on voit qu'un constructeur comme Samsung ne va proposer de patch que sur une quantité très réduite, c'est tout à fait ridicule. Il est temps de passer sous une ROM alternative si vous êtes dans ce cas.
Enfin, évitez d'installer des APK sans passer par le Play Store car potentiellement vous savez que ça peut faire des chocapics. Et bon courage si vous proposez le BYOD dans votre société !
ps : vous pouvez indiquer le modèle de votre smartphone en commentaire en disant si vous êtes touchés ou non par la faille Certifi-gate. Le bulletin d'alerte de l'ANSSI
13 commentaires
Salut, trés instructif merci.
Pour le BYOD il existe les solutions MDM qui permettent de controler finement le niveau de sécurité des terminaux mobiles.
@nicobbg: Merci, tu peux nous en dire plus sur les solutions MDM ? par expérience je sais qu'il est difficile de placer le curseur, car quand tu imposes trop de restrictions aux gens le BYOD perd son sens. Il ne faut que les gens aient l'impression d'avoir acheté un matériel uniquement pour le boulot
Cyanogen n'a toujours pas sorti de mise à jour pour les téléphones qui ne supportent pas Android 5.x (ex Samsung galaxy s3)....
@Tuxicoman: CyanogenMod 12 et 12.1 sont déjà protégées
je dirais même qu'on entend parler que d'android, ce qui permet aux Apple fanboys de bien nous tailler... +1 pour cyanogen
@Le Journal du hacker: j'ai volontairement pas abordé ce sujet sensible... comme je le dis dans le billet si Android est attaqué c'est parce qu'il est populaire. Personne ne s'intéressera aux failles de sécurité de Blackberry ou Windows Phone, tant qu'ils n'auront pas des part de marché significatives 🙂
@Mr Xhark:
Cyanogen 12.x c'est Android 5.x
Pour le Galaxy S3, il n'existe que Cyanogen 11 qui est basé sur Android 4.4
Donc pas de build officielle de Cyanogen avec le fix à se mettre sous la dent.
@Tuxicoman: ok, je pensais que les version Android 5.x étaient sorties pour le S3
ps: tu peux éviter de mettre une adresse email non résolue dans ton commentaire, car nos serveurs se font blacklistés ensuite... met du yopmail 😉
C'est sympa ce Certifi-gate, tous les jours de devoir télécharger une application qui vérifie telle ou telle faille ! Ca fait rêver. Bientôt des applis qui font ça automatiquement, un peu comme les antivirus sur Windows.
Ce qui y est grave avec les smartphones, c'est que ces failles ne seront jamais corrigées sur des centaines des modèles, car après deux ans les fabriquant ne trouvent aucun intérêt financier à faire des mises à jours à des anciens modèles.
Mais reste à savoir la nuisance de ces failles, car beaucoup ne sont pas exploitables.
Et comme samsung ne publie pas de mises ajour d'android sur les modeles d'entree de gamme on fait comment?
@Nichan: pas de choix, soit tu trouves une rom alternative soit tu changes de tél si tu veux te prémunir contre les failles
Toucher par la faille honor 5x galaxy note 1p.1 2014 merci