Faille Android du jour … Et hop, ton téléphone est wipé !

Faille Android du jour … Et hop, ton téléphone est wipé !

Mise à jour: Le sujet est tout chaud, il vient juste de tomber. Prenons les hypothèses avec des pincettes, et ne tirons pas de conclusions hâtives. Ce billet émane de premiers éléments qui seront peut-être/sûrement démentis/contredits dans les prochains jours.

La faille du jour ultra critique, au cas où vous seriez pour le moment passé à côté, concerne votre téléphone Android. Elle est plutôt du genre sévère et touche un grand nombre de combinés Android sans épargner les modèles phares et marques leader du marché.

Pour ma part, j’ai un Samsung Galaxy S et, ô surprise, il est vulnérable. Pourtant il fonctionne sur ICS, c’est à dire, la dernière version majeure du système Android.
La vulnérabilité concerne l’exécution automatique des codes spéciaux via le dialer de votre téléphone. Vous en avez peut-être déjà entendu parlé. Par exemple, si vous saisissez le code: *#06# sur votre téléphone, une popup avec son numéro IMEI apparaîtra.
En apparence, rien de très grave. Sachez cependant qu’il est possible de saisir d’autres codes provoquant d’autres actions sur votre téléphone dont un qui permet de wiper (Supprimer) toutes les données de votre cher téléphone Android.
Sachez également, qu’il est juste nécessaire d’ouvrir une page web contenant un lien téléphonique pour exécuter ce type de code. Le problème de sécurité réside dans le fait système Android permet l’exécution automatique de ces codes sans demander de confirmation, il est ainsi possible de créer des QRCode piégés ou bien encore de créer des liens piégés via de simples pages web.

Si vous avez des doutes quant à la criticité de cette faille, rendez-vous sur cette page avec votre téléphone: http://dylanreeve.com/phone.php et voyez comment il réagit. Si le numéro EMEI de votre téléphone apparaît dans une popup sans action de votre part, alors votre téléphone est vulnérable.
Mon Samsung Galaxy S ouvre fièrement une popup affichant son numéro IMEI. Ceci sous-entend qu’il est également capable d’exécuter le wipe du téléphone ou d’autres choses peut-être encore moins sympas dont personne n’a idée pour le moment.
En prenant le temps de la réflexion un instant, on se croirait revenu au temps de Windows 98, et de ses failles béantes découvertes tous les quatre matin ! On peut se demander comment de telles failles de sécurité peuvent encore passer entre les mains des équipes de sécurité chez Google sans être repérées, c’est tout bonnement incroyable!

Sachant que les mises à jours Android sont mises à dispositions, en général, uniquement pour les combinés les plus récents, nous sommes devant une faille avec potentiel destructeur énorme, et qui pourrait n’être jamais corrigée pour une vaste majorité de combinés. Je ne parle même pas du fait que l’utilisateur moyen n’a que peu de chance de savoir qu’il faille mettre à jour son téléphone lorsqu’il en a la possibilité.

Différentes solutions ou workaround existent. Si vous n’avez pas la chance d’avoir un téléphone protégé ou bien même d’avoir une mise à jour de sécurité applicable pour votre modèle de téléphone, vous pouvez dans un premier temps installer un second Dialer via le Google Play afin de vous prémunir de l’exécution automatique de ces code spéciaux. Vous vous verrez proposer à la place une popup de confirmation vous demandant de choisir l’application à utiliser. Vous aurez donc le choix d’annuler l’action.

Si votre système est assez moderne et dispose de Google Chromen vous pouvez attendre une nouvelle version de l’application fixant la faille de sécurité. Sachez cependant que bon nombre d’applications dont les readers fonctionnent avec un composant WebView basé sur le navigateur système. Ce composant n’est pour le moment pas une webview Google Chrome même pour les téléphones les plus récents (Hormis exception pour l’instant me semble-t-il). C’est donc la webview système qui prenda en chargement la page web. Une mise à jour de Chrome ne permettra donc pas de se prémunir des applications embarquant une webview et donc potentiellement affectées par le problème.Quant aux applications proposant la lecture de QRCode, il faudra attendre les mises à jour.

Il est fort à parier que la solution la plus pérenne viendra de la mise à disposition via le Play Store d’applications de filtrage de demande d’exécution de ces codes spéciaux. La question étant de savoir s’il est nécessaire d’avoir un téléphone rooté pour installer une application de ce type.

Nos téléphones auraient-ils besoin finalement d’antivirus sachant que la plupart des failles de sécurités ne sont jamais corrigées du fait de l’obsolescence effrénée de nos combinés et donc de l’absence récurrente de mise à disposition de mises à jours de sécurité pour les modèles les plus anciens.
De même, combien de temps les constructeurs fermeront les yeux sur l’absence de mise à jour de sécurité régulières de nos combinés mobiles ?

Fait étonnant, les derniers Google Phone ne semblent pas touchés. Google aurait-il corrigé en toute discrétion cette faille et aurait-il fait passer une mise à jour silencieuse ? Il semble que cela soit effectivement le cas. Google, ses partenaires et différents opérateurs auraient été prévenus dès la fin du mois de juin, mais seul Google pour ses modèles récents et quelques opérateurs pour quelques modèles très précis auraient effectivement appliqué un patch de sécurité. Les autres combinés étant sujets aux aléas de la qualité des protections implémentés dans les surcouches constructeurs et opérateurs. En tout état de cause, les téléphone équipés de ROM stock ou custom (Rom Cyanogen et compagnie) semblent touchés par le problème.

En tout état de cause, il ne faut pas trop s’attendre à recevoir Over The Air une mise à jour pour un combiné Android qui a plus de 6 mois ou 1 an. Combien cela coûterait aux opérateurs de mettre à disposition des mises à jours de sécurité pour des centaines de modèles qui sont pour la plupart arrivés en fin de vie commerciale ? Nos chers opérateurs doivent-ils d’ailleurs prévoir de tels plans catastrophe ? Qui s’engage à sécuriser votre combiné ? J’aurais malheureusement tendance à dire personne à part vous-même: Soyez vigilant face aux alertes de sécurités concernant les systèmes mobiles:

  • Tenez votre système ainsi que vous applications à jour
  • Utilisez un navigateur updatable
  • Evitez l’usage du navigateur système
  • Utilisez à la place un navigateur updatable, tel que Google Chrome.

Les informations critiques relatives à votre vie privée et professionnelles sont toutes accessibles depuis votre combiné mobile ou même tout simplement stockées dans votre téléphone, il est donc impératif d’être vigilant quant à la sécurisation des données nomades. Preuve, s’il en faut, la mésaventure arrivée au mois d’août dernier à Mat Honan, journaliste du magazine Wired qui a vu sa vi digitale effacée en un claquement de doigt (ici et ).

Cette faille de sécurité met en lumière toute la problématique de la fragmentation du système Android, et c’est Apple qui doit se frotter les mains cette semaine après avoir subit les railleries la semaine dernière lors du lancement de sa nouvelle application Map.

Leave a Reply