Sécurité : Android victime d'une vulnérabilité critique

La société de sécurité Bluebox révèle une vulnérabilité critique qui ouvre aux pirates l’accès de quasiment tous les terminaux Android du marché.

Potentiellement, 900 millions de téléphones Android sont victimes d’une vulnérabilité critique. C’est ce qu’annonce le directeur technique de la société Bluebox Security.

Modification du code incognito

Jeff Forristal explique qu’une « vulnérabilité dans le modèle de sécurité d’Android permet à un pirate de modifier le code APK sans casser la signature de chiffrement d’une application, pour transformer n’importe quelle application légitime en un malveillant cheval de Troie, complètement invisible aux yeux de l’App Store, du téléphone ou de l’utilisateur final ». Autrement dit, autoriser la modification des fonctionnalités d’une application sans que cette modification soit détectée.

Potentiellement, l’exploitation de cette brèche de sécurité permet donc à un attaquant de prendre le contrôle quasi-total du téléphone et de ses applications, du vol de données à l’installation d’un botnet en passant par la lecture des contenus (SMS, e-mails, documents, mots de passe…) ou le contrôle de la caméra.

Depuis Donut

Cette faille pour le moins inquiétante serait présente depuis la version 1.6 (Donut) d’Android. Autant dire que la quasi-totalité des terminaux sous la plate-forme de Google sont affectés. La démonstration sera faite, et discutée, lors de la conférence BlackHat 2013 fin juillet à Las Vegas. Visiblement, et heureusement, elle ne semble jamais avoir été exploitée massivement.

Autre point inquiétant, et paradoxal, « ce risque est aggravé si l’on considère que les applications développées par les fabricants de périphériques (…) ou par des tiers qui travaillent en collaboration avec le fabricant de l’appareil (par exemple Cisco AnyConnect VPN) bénéficient de privilèges élevés au sein Android ». Si même les applications livrées à l’origine et professionnelles ne sont pas fiables…

Mise à jour indispensable

Bluebox indique avoir prévenu Google de cette vulnérabilité en février dernier. Il ne reste plus à ce dernier qu’à diffuser le correctif de la faille et assurer, via ses partenaires (constructeurs, opérateurs), et utilisateurs, de pousser et installer les mises à jour.

D’ici là (nombre d’utilisateurs ont déjà peut-être bénéficié de la mise à jour), la société de sécurité recommande aux utilisateurs d’être extrêmement prudents sur l’origine des applications qu’ils installent et à effectuer systématiquement les mises à jour système, particulièrement s’ils utilisent leurs terminaux à des fins professionnelles (BYOD, Bring Your Own Device). Quant aux responsables IT, l’affaire devrait les inciter à redoubler d’attention sur les solutions de sécurisation et intégrité des données de l’entreprise.

Voir aussi

Quiz Silicon.fr – 4 ans d’Android !

Lire aussi : Android sur Windows : Microsoft recule à nouveau