Faille de sécurité dans les terminaux Android : faut-il jeter vos smartphones ?

Un chercheur en sécurité américain a découvert un problème de sécurité qui permettrait d'infecter un smartphone via un MMS. Si Google a rapidement réagi, les utilisateurs ne sont pas pour autant systématiquement protégés.

Il a appelé ça «une licorne au cœur d’Android», mais la découverte, contrairement à l’animal mythologique, n’a rien de plaisant. Joshua Drake, chercheur chez Zimperium, une start-up californienne spécialisée dans la sécurité des téléphones mobiles, a récemment mis au jour une faille dans le système d’exploitation pour smartphones le plus populaire de la planète (il équipe près de 80% d’entre eux), et l’a annoncé publiquement ce lundi. Problème : elle pourrait être exploitée sans aucune intervention de l’utilisateur… et concerne, selon le chercheur, quelque 950 millions d’appareils. Et si Google a d’ores et déjà déployé des correctifs, les possesseurs d’un smartphone sous Android n’en sont pas, loin s'en faut, systématiquement protégés.

Certes, à ce stade, rien n’indique que la vulnérabilité, découverte en laboratoire, ait été effectivement utilisée «dans la nature» par des pirates informatiques. D’autant qu’on n’en connaît pas les détails – on devrait en savoir plus début août, puisque Drake interviendra à Las Vegas lors de deux grosses conférences dédiées au hacking, Black Hat puis DEF CON. Mais en attendant, sans pour autant céder à la panique, rien n’interdit de prendre quelques précautions.

Comment ça marche ?

La faille affecte l’un des composants natifs d’Android : Stagefright, une bibliothèque logicielle utilisée pour la lecture de fichiers multimédia. Elle est, par exemple, «appelée» automatiquement pour afficher l’aperçu d’une vidéo reçue par MMS. Pour exploiter la vulnérabilité, un attaquant peut donc envoyer une vidéo contenant du code malveillant, qui s’exécutera dès la lecture du message, sans même qu’il soit besoin de lire la vidéo elle-même. Voire, pour peu qu’on utilise Google Hangouts, dès la réception du MMS – par défaut, Hangouts télécharge automatiquement les vidéos dans la galerie de médias du smartphone, pour que l’utilisateur n’ait pas à s’en soucier…

«Cela signifie que la faille peut être exploitée à distance pendant que le propriétaire de l’appareil est endormi», a indiqué Joshua Drake au site Business Insider. Autrement dit, pour attaquer une cible, il suffirait… de connaître son numéro de téléphone. Par ailleurs, une vidéo malveillante exploitant la faille et planquée sur un site web consulté depuis un smartphone sous Android peut avoir le même effet.

C’est grave ?

A tout le moins, et en attendant des éléments plus substantiels, ça a l’air sérieux. D’abord parce que toutes les versions d’Android depuis la 2.2 sont concernées, et plus particulièrement toutes celles antérieures à la version 4.3. Pour les plus récentes, les protections sont, en principe, plus élaborées. Notamment grâce au sandboxing – littéralement, un mécanisme de «bac à sable» – qui permet à chaque application de fonctionner dans un environnement cloisonné, sans pouvoir accéder aux données d’autres applications (par exemple, celle qui permet de consulter son compte bancaire). Mais «ce n’est pas une garantie absolue : ce n’est pas la Muraille de Chine, plutôt la ligne Maginot, tempère Jérôme Robert, directeur de la stratégie chez la société de cybersécurité française Lexsi. Et si l’application a un accès légitime à certaines données, elles seront disponibles». A minima, selon Drake, un attaquant pourrait accéder à la caméra, au micro, et au stockage externe de données – c’est déjà beaucoup.

Autre problème : si le chercheur a proposé des correctifs à Google, qui ont été validés en quarante-huit heures, la balle est désormais dans le camp des fabricants de smartphones... lesquels sont plus ou moins réactifs. Adrian Ludwig, ingénieur en sécurité pour Android, a certes indiqué au site de la radio américaine NPR que tous les partenaires de la firme de Moutain View avaient été avertis ; Silent Circle, qui produit le Blackphone, a remédié au problème, de même que la dernière version de Firefox OS, et le déploiement est en cours chez HTC. D’après Drake, «les appareils vieux de plus de dix-huit mois ont peu de chances de recevoir une mise à jour». Mais compte tenu de l’écho de la découverte, «on peut espérer que les constructeurs réagissent assez vite», juge de son côté Jérôme Robert.

Que faut-il faire ?

En attendant, les utilisateurs ont quelques outils à leur disposition pour éviter les problèmes potentiels. Evidemment, Zimperium commercialise déjà une solution de sécurité pour protéger de la faille de Stagefright – c’est aussi business as usual – mais devrait mettre à disposition un patch en Open Source lors de la conférence Black Hat, le 5 août. D'ici là, il est souvent possible, dans les applications de messages, de bloquer ceux qui proviennent d’utilisateurs inconnus. Une fonctionnalité qui n’existe pas pour Google Hangouts, mais on peut y désactiver, dans les paramètres, la fonction «récupération automatique des MMS».

Une autre option étant de s’en passer totalement, et d’opter, par exemple, pour l’application TextSecure, dont le développeur, Moxie Marlinspike, a indiqué sur Twitter qu’elle «ne fait pas de prétraitement impliquant Stagefright» et qu’il faudrait donc, pour s’exposer à la faille, lancer la vidéo et outrepasser un message d’avertissement. D’autant que TextSecure permet aussi – et principalement – de crypter les messages, ce qui, par les temps qui courent, n’est pas à dédaigner. 

Amaelle GUITON (Liberation.fr)

 

  • 1/10
    La ville de Niamey en réponse à l'appel du président de la république dans la lutte contre le Covid19

    Dans le cadre de la lutte contre la pandémie de covid-19, communément appelée coronavirus, La ville de Niamey a procédé, sous l'encadrement du ministère de la santé publique, a procédé à une vaste...

    Friday, 27 March, 2020 - 14:35
  • 2/10
    Diffa N’Glaa : Une ambition à la hauteur de la taille

    Le vendredi dernier, Le Premier Ministre, Chef du Gouvernement, M. Brigi Rafini, a procédé, au lancement officiel des travaux entrant dans le cadre des préparatifs marquant le 62ème anniversaire...

    Wednesday, 29 January, 2020 - 15:23
  • 3/10
    Tribune : Pour plus de force et de pertinence au G5 Sahel !

    En 2014, Le Burkina Faso, le Mali, la Mauritanie, le Niger et le Tchad ont décidé d’œuvrer ensemble en faveur de la sécurité et du développement du Sahel.

    Wednesday, 5 December, 2018 - 09:21
  • 4/10
    2 milliards 500 millions de CFA du Japon pour l’aide alimentaire au Niger pour 2018

    Niamey, 03 Déc. (ANP) –un accord de coopération portant sur 2  milliards 500 millions a été signé ce  3 décembre 2018 à Niamey  entre Le Secrétaire Général du Ministère des Affaires Etrangères, de...

    Tuesday, 4 December, 2018 - 09:57
  • 5/10
    Barrage Kandadji au Niger : 436 millions mobilisés pour la réinstallation des populations

    La Banque africaine de développement a accueilli une table ronde des partenaires techniques et financiers, le 30 novembre 2018 à Abidjan, sur le financement du Plan d’action de réinstallation (PAR...

    Tuesday, 4 December, 2018 - 09:34
  • 6/10
    Niger: l'opérateur téléphonique français Orange dans la tourmente

    Les locaux d’Orange ont été mis sous scellés jeudi dernier après un redressement fiscal de 22 milliards de francs CFA, soit 33,5 millions d'euros. Orange conteste le redressement ainsi que la mise...

    Tuesday, 4 December, 2018 - 09:20
  • 7/10
    Afrique : la France restitue des œuvres d'art

    Le musée du quai Branly à Paris va-t-il être vidé de ses chefs d'oeuvres ? C'est l'hypothèse brandie par certains...

    Monday, 26 November, 2018 - 09:31
  • 8/10
    Le Président Issoufou Mahamadou a quitté Niamey ce dimanche matin pour Riyad où il effectuera une visite officielle

    Le Président de la République, Chef de l’Etat, SEM Issoufou Mahamadou, a quitté Niamey ce dimanche matin, 25 novembre...

    Sunday, 25 November, 2018 - 14:46
  • 9/10
    DEFENSE DU TERRITOIRE ET SECURITE INTERIEURE : LE NIGER RESTE UN MODEL POUR LA SOUS-REGION

    Pays frontalier de l'Algérie, la Libye, du Mali, du Tchad, du Nigeria, du Burkina-Faso et du Bénin, le Niger est aujourd’hui un acteur régional incontournable dans les questions de paix et...

    Saturday, 24 November, 2018 - 16:53
  • 10/10
    Au Niger, des girafes menacées ont été délocalisées dans le sud du pays

    Des girafes d’une espèce rare vont être déplacées de 600 km, de la région de Kouré, dans le sud-ouest du Niger, où elles sont une attraction...

    Saturday, 24 November, 2018 - 16:47

High - Tech

2 years 3 months ago

 Une équipe composée de huit jeunes nigériens (développeurs communicateurs, étudiants), âgés de 18 à 29 ans, a remporté à Bruxelles en Belgique le prix international  « Hack the Goals 2018 » grâce à...

5 years 2 months ago

Les travaux de déploiement de la fibre optique à travers le Niger ont été engagés en juin dernier, depuis la ville de Tillabéri, la capitale de la région éponyme située à 120km au nord-ouest de...

5 years 2 months ago

Un chercheur en sécurité informatique a découvert une base de données avec les noms et mots de passe des utilisateurs de MacKeeper, un logiciel à la réputation douteuse.

5 years 2 months ago

Le premier site Web a aujourd'hui 25 ans. Développé et mis en ligne par Tim Berners-Lee, inventeur du World Wide Web, il a été remis en ligne il y a quelques années.

5 years 4 months ago

L'invention du jeune Nigérien Abdou Mamane Kané, informaticien en développement d'application, permet aux maraichers de piloter à distance le système d'irrigation de leur exploitation agricole quelle...

5 years 5 months ago

Lucibel, une entreprise française qui produit des luminaires et des systèmes d'éclairage à base de LED, vient de dévoiler son tout premier prototype de luminaire Li-Fi bidirectionnel et haut débit....

5 years 6 months ago

Les sites médias sont désormais davantage consultés via Facebook qu'en allant sur Google. Ce changement de rapport de force, qui s'observe essentiellement sur le marché américain, récompense les...

Un drone Predator américain. Ici à Balad, en Irak, le 12 juin 2008. Source : REUTERS/U.S. Air Force photo by Senior Airman Julianne Showalter

5 years 6 months ago

Les Etats-Unis conduisent des discussions avec un certain nombre de pays d'Afrique du Nord sur la possibilité de localiser des drones sur une base dans le but de renforcer la surveillance de l'Etat...

Au Niger

1 year 1 month ago

Le vendredi dernier, Le Premier Ministre, Chef du Gouvernement, M. Brigi Rafini, a procédé, au lancement officiel des travaux entrant dans le cadre des préparatifs marquant le 62ème anniversaire...

4 years 1 month ago

Grace aux festivités entrant dans le cadre du 58ème anniversaire de la célébration de la Proclamation de la république du Niger, ou Agadez Sokni 2016, qui furent de grands moments de retrouvailles...

4 years 3 months ago

Le gouvernement nigérien prévoit débloquer 40 milliards de Fcfa pour promouvoir la ville d'Agadez au nord du Niger. Prévu par le budget de l'Etat, l'investissement est fait dans le cadre de la...

4 years 4 months ago

Au Niger, des combats ont eu lieu ce lundi 17 octobre au matin à la prison de Koutoukalé, à une cinquantaine de kilomètres de Niamey. Dans ce lieu de détention de haute sécurité sont détenus les...

4 years 7 months ago

Ils ont été nombreux ce matin les internautes nigériens d'ici comme de la diaspora à participer à la première séance de questions / réponses organisée par la Présidence. Il faut ainsi dire que ce...

4 years 7 months ago

Dans le cadre des opérations de ratissage conduites par la Force multinationale mixte, les troupes nigériennes intervenant dans le secteur de Diffa "ont nettoyé avec succès le village de Doutsi et...