Sécurité informatique : le talon d’Achille d’Android ?

« L'équivalent pour les téléphones de la vulnérabilité logicielle Heartbleed », « La mère de toutes les vulnérabilités Android », c'est ainsi que les médias parlent de la dernière vulnérabilité (voir cet article en anglais) qui touche tous les appareils Android. Bien que Google ait rapidement proposé un correctif, un problème de taille reste à résoudre : appliquer ce correctif à vos appareils Android, alors même que les fabricants de téléphones portables et les opérateurs mobiles restent incroyablement lents à le diffuser.

 

Que pouvez-vous faire pour obtenir ce correctif ? Globalement rien, si ce n'est attendre. Vous êtes complètement exposé dès lors que vous utilisez une version récente du système d'exploitation Android (supérieure ou égale à 2.2). Cette vulnérabilité, qui touche « Stagefright », la librairie responsable de la lecture multimédia sous Android, peut être exploitée par un simple message MMS, et vous ne serez même pas capable de vous en rendre compte. L'attaque contre votre téléphone Android se produit dès le prétraitement du message, c'est-à-dire dès que celui-ci frappe à votre porte. Aucun avertissement, rien. Pire, les personnes ayant découvert cette vulnérabilité ont l'intention d’en publier tous les détails lors de la prochaine conférence BlackHat, en août. Dès lors, on ne peut que s'attendre à ce qu'un certain nombre de pirates informatiques sautent sur l'occasion et utilisent cette vulnérabilité à leurs propres fins. Tout ce dont ils auront besoin est le numéro de votre téléphone Android.

Existe-t-il d'autres moyens de protection ? La recommandation habituelle serait d'appliquer le correctif correspondant, qui a déjà été publié par Google. Malheureusement, cela dépend de votre fabriquant et de votre opérateur, qui doivent l'adapter à votre téléphone et le diffuser. Et cela, si l'on se réfère aux expériences passées (voir cet article en anglais), peut prendre beaucoup de temps, voire même ne jamais se produire (voir cet autre article en anglais). Sinon, vous pouvez essayer de recompiler vous-même votre système d'exploitation Android, mais cela relève de l'exploit – à tenter uniquement par les experts. Comme mesure provisoire, vous pouvez cependant désactiver la réception des MMS sur votre téléphone. Ces recommandations sont disponibles à la fin de cet article (en anglais).

Le futur nous réserve donc quelques surprises. Non seulement pour Android, mais aussi pour beaucoup d'autres appareils : la divulgation de nouvelles vulnérabilités sera de plus en plus rapide. « Patcher », c'est-à-dire corriger ces vulnérabilités, devra donc se faire de plus en plus rapidement. Avec tous ces téléphones intelligents, l'internet des objets, des réfrigérateurs et des voitures interconnectées, des compteurs électriques intelligents… (voir l’article du Bulletin intitulé « Notre vie en symbiose »), un nouveau modèle pour l'application des correctifs est nécessaire. Pour le moment, nos méthodes pour « patcher » sont trop rigides et trop lentes (voir notre article du Bulletin intitulé « Agilité pour les ordinateurs »). Et ce talon d’Achille d’Android n'est qu'un exemple parmi beaucoup d'autres.


N'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Stefan Lueders, Computer Security Team