Sécurité informatique: le talon d'Achille d'Android ?

Publié par Adrien le 17/08/2015 à 12:00
Source: Stefan Lueders, Computer Security Team - Copyright CERN
3
Restez toujours informé: suivez-nous sur Google Actualités (icone ☆)

"L'équivalent pour les téléphones de la vulnérabilité logicielle Heartbleed", "La mère de toutes les vulnérabilités Android", c'est ainsi que les médias parlent de la dernière vulnérabilité qui touche tous les appareils Android. Bien que Google ait rapidement proposé un correctif, un problème de taille reste à résoudre: appliquer ce correctif à vos appareils Android, alors même que les fabricants de téléphones portables et les opérateurs mobiles restent incroyablement lents à le diffuser.

Que pouvez-vous faire pour obtenir ce correctif ? Globalement rien, si ce n'est attendre. Vous êtes complètement exposé dès lors que vous utilisez une version récente du système d'exploitation Android (supérieure ou égale à 2.2). Cette vulnérabilité, qui touche "Stagefright", la librairie responsable de la lecture multimédia sous Android, peut être exploitée par un simple message MMS, et vous ne serez même pas capable de vous en rendre compte. L'attaque contre votre téléphone Android se produit dès le prétraitement du message, c'est-à-dire dès que celui-ci frappe à votre porte. Aucun avertissement, rien. Pire, les personnes ayant découvert cette vulnérabilité ont l'intention d'en publier tous les détails lors de la prochaine conférence BlackHat, en août. Dès lors, on ne peut que s'attendre à ce qu'un certain nombre de pirates informatiques sautent sur l'occasion et utilisent cette vulnérabilité à leurs propres fins. Tout ce dont ils auront besoin est le numéro de votre téléphone Android.

Existe-t-il d'autres moyens de protection ? La recommandation habituelle serait d'appliquer le correctif correspondant, qui a déjà été publié par Google. Malheureusement, cela dépend de votre fabriquant et de votre opérateur, qui doivent l'adapter à votre téléphone et le diffuser. Et cela, si l'on se réfère aux expériences passées (voir cet article en anglais), peut prendre beaucoup de temps, voire même ne jamais se produire (voir cet autre article en anglais). Sinon, vous pouvez essayer de recompiler vous-même votre système d'exploitation Android, mais cela relève de l'exploit - à tenter uniquement par les experts. Comme mesure provisoire, vous pouvez cependant désactiver la réception des MMS sur votre téléphone. Ces recommandations sont disponibles à la fin de cet article (en anglais).

Le futur nous réserve donc quelques surprises. Non seulement pour Android, mais aussi pour beaucoup d'autres appareils: la divulgation de nouvelles vulnérabilités sera de plus en plus rapide. "Patcher", c'est-à-dire corriger ces vulnérabilités, devra donc se faire de plus en plus rapidement. Avec tous ces téléphones intelligents, l'internet des objets, des réfrigérateurs et des voitures interconnectées, des compteurs électriques intelligents..., un nouveau modèle pour l'application des correctifs est nécessaire. Pour le moment, nos méthodes pour "patcher" sont trop rigides et trop lentes. Et ce talon d'Achille d'Android n'est qu'un exemple parmi beaucoup d'autres.
Page générée en 0.167 seconde(s) - site hébergé chez Contabo
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
A propos - Informations légales | Partenaire: HD-Numérique
Version anglaise | Version allemande | Version espagnole | Version portugaise