Faille de sécurité dans les terminaux Android : faut-il jeter vos smartphones ?

Un chercheur en sécurité américain a découvert un problème de sécurité qui permettrait d'infecter un smartphone via un MMS. Si Google a rapidement réagi, les utilisateurs ne sont pas pour autant systématiquement protégés.

Il a appelé ça «une licorne au cœur d’Android», mais la découverte, contrairement à l’animal mythologique, n’a rien de plaisant. Joshua Drake, chercheur chez Zimperium, une start-up californienne spécialisée dans la sécurité des téléphones mobiles, a récemment mis au jour une faille dans le système d’exploitation pour smartphones le plus populaire de la planète (il équipe près de 80% d’entre eux), et l’a annoncé publiquement ce lundi. Problème : elle pourrait être exploitée sans aucune intervention de l’utilisateur… et concerne, selon le chercheur, quelque 950 millions d’appareils. Et si Google a d’ores et déjà déployé des correctifs, les possesseurs d’un smartphone sous Android n’en sont pas, loin s'en faut, systématiquement protégés.

Certes, à ce stade, rien n’indique que la vulnérabilité, découverte en laboratoire, ait été effectivement utilisée «dans la nature» par des pirates informatiques. D’autant qu’on n’en connaît pas les détails – on devrait en savoir plus début août, puisque Drake interviendra à Las Vegas lors de deux grosses conférences dédiées au hacking, Black Hat puis DEF CON. Mais en attendant, sans pour autant céder à la panique, rien n’interdit de prendre quelques précautions.

Comment ça marche ?

La faille affecte l’un des composants natifs d’Android : Stagefright, une bibliothèque logicielle utilisée pour la lecture de fichiers multimédia. Elle est, par exemple, «appelée» automatiquement pour afficher l’aperçu d’une vidéo reçue par MMS. Pour exploiter la vulnérabilité, un attaquant peut donc envoyer une vidéo contenant du code malveillant, qui s’exécutera dès la lecture du message, sans même qu’il soit besoin de lire la vidéo elle-même. Voire, pour peu qu’on utilise Google Hangouts, dès la réception du MMS – par défaut, Hangouts télécharge automatiquement les vidéos dans la galerie de médias du smartphone, pour que l’utilisateur n’ait pas à s’en soucier…

«Cela signifie que la faille peut être exploitée à distance pendant que le propriétaire de l’appareil est endormi», a indiqué Joshua Drake au site Business Insider. Autrement dit, pour attaquer une cible, il suffirait… de connaître son numéro de téléphone. Par ailleurs, une vidéo malveillante exploitant la faille et planquée sur un site web consulté depuis un smartphone sous Android peut avoir le même effet.

C’est grave ?

A tout le moins, et en attendant des éléments plus substantiels, ça a l’air sérieux. D’abord parce que toutes les versions d’Android depuis la 2.2 sont concernées, et plus particulièrement toutes celles antérieures à la version 4.3. Pour les plus récentes, les protections sont, en principe, plus élaborées. Notamment grâce au sandboxing – littéralement, un mécanisme de «bac à sable» – qui permet à chaque application de fonctionner dans un environnement cloisonné, sans pouvoir accéder aux données d’autres applications (par exemple, celle qui permet de consulter son compte bancaire). Mais «ce n’est pas une garantie absolue : ce n’est pas la Muraille de Chine, plutôt la ligne Maginot, tempère Jérôme Robert, directeur de la stratégie chez la société de cybersécurité française Lexsi. Et si l’application a un accès légitime à certaines données, elles seront disponibles». A minima, selon Drake, un attaquant pourrait accéder à la caméra, au micro, et au stockage externe de données – c’est déjà beaucoup.

Autre problème : si le chercheur a proposé des correctifs à Google, qui ont été validés en quarante-huit heures, la balle est désormais dans le camp des fabricants de smartphones... lesquels sont plus ou moins réactifs. Adrian Ludwig, ingénieur en sécurité pour Android, a certes indiqué au site de la radio américaine NPR que tous les partenaires de la firme de Moutain View avaient été avertis ; Silent Circle, qui produit le Blackphone, a remédié au problème, de même que la dernière version de Firefox OS, et le déploiement est en cours chez HTC. D’après Drake, «les appareils vieux de plus de dix-huit mois ont peu de chances de recevoir une mise à jour». Mais compte tenu de l’écho de la découverte, «on peut espérer que les constructeurs réagissent assez vite», juge de son côté Jérôme Robert.

Que faut-il faire ?

En attendant, les utilisateurs ont quelques outils à leur disposition pour éviter les problèmes potentiels. Evidemment, Zimperium commercialise déjà une solution de sécurité pour protéger de la faille de Stagefright – c’est aussi business as usual – mais devrait mettre à disposition un patch en Open Source lors de la conférence Black Hat, le 5 août. D'ici là, il est souvent possible, dans les applications de messages, de bloquer ceux qui proviennent d’utilisateurs inconnus. Une fonctionnalité qui n’existe pas pour Google Hangouts, mais on peut y désactiver, dans les paramètres, la fonction «récupération automatique des MMS».

Une autre option étant de s’en passer totalement, et d’opter, par exemple, pour l’application TextSecure, dont le développeur, Moxie Marlinspike, a indiqué sur Twitter qu’elle «ne fait pas de prétraitement impliquant Stagefright» et qu’il faudrait donc, pour s’exposer à la faille, lancer la vidéo et outrepasser un message d’avertissement. D’autant que TextSecure permet aussi – et principalement – de crypter les messages, ce qui, par les temps qui courent, n’est pas à dédaigner. 

Amaelle GUITON (Liberation.fr)