Sécurité informatique : le talon d’Achille d’Android. Encore…
Environ 1 milliard de téléphones portables ont à nouveau été victimes du talon d’Achille d’Android.
Android se retrouve dans une situation semblable à celle rencontrée avec la vulnérabilité Stagefright l’été dernier (voir l’article « Le talon d’Achille d’Android ? »). Mais tandis que « la mère de toutes les vulnérabilités Android » s’appuyait sur la librairie de lecture multimédia, cette fois, la cible est le pilote de la puce électrique LTE de Qualcomm. Et comme par le passé, tandis qu’un correctif a très rapidement été publié, la difficulté consiste à pouvoir en bénéficier sur vos appareils Android : les fabricants de téléphones portables et les opérateurs mettent un temps effroyable à les diffuser…
Que faire pour remédier à ce problème ? Il n’y a malheureusement rien que vous puissiez faire, sauf attendre. Si vous utilisez certains types de téléphones portables intelligents, vous êtes plus particulièrement exposés (par exemple : HTC One M9 et HTC 10 ; LG G4, G5 et V10 ; Samsung Galaxy S7 et S7 Edge). QuadRooter s’appuie sur quatre failles du pilote de la puce des communications mobiles des téléphones portables intelligents Android. Il suffit d’une seule application malveillante pour exploiter ces failles… Une fois installée, elle devient « root », le maître et commandant en chef de votre téléphone portable intelligent. Heureusement, jusqu’à présent, aucune exploitation publique de cette vulnérabilité n’a été rapportée… Stratégies de défense possibles ? La recommandation habituelle serait d'appliquer le correctif correspondant, qui a déjà été publié par Google. Malheureusement, cela dépend de votre fabriquant et de votre opérateur, qui doivent l'adapter à votre téléphone et le diffuser. Et cela, si l'on se réfère aux expériences passées, peut prendre beaucoup de temps, voire même ne jamais se produire (voir cet article - en anglais). Sinon, vous pouvez essayer de recompiler vous-même votre système d'exploitation Android, mais cela relève de l'exploit – à tenter uniquement par les experts.
Le futur nous réserve donc quelques surprises. Non seulement pour Android, mais aussi pour beaucoup d'autres appareils : la divulgation de nouvelles vulnérabilités sera de plus en plus rapide. « Patcher », c'est-à-dire corriger ces vulnérabilités, devra donc se faire de plus en plus rapidement. Avec tous ces téléphones intelligents, ces réfrigérateurs et voitures interconnectées, ces compteurs électriques intelligents, sans parler de l'internet des objets (voir l’article « Notre vie en symbiose »), un nouveau modèle pour l'application des correctifs est nécessaire. Pour le moment, nos méthodes pour « patcher » sont trop rigides et trop lentes (voir l’article « Agilité pour les ordinateurs »). Et ce talon d’Achille d’Android n'est qu'un exemple parmi tant d'autres.
N.B. : si vous pensiez que l’iOS d’Apple est plus sûr… Hum. Malheureusement non, comme la faille avec le récent Pegasus l’a montré. Cependant, Apple a la main sur les mises à jour, ce qui permet d’installer les correctifs rapidement (pour les versions iOS 9 et supérieures).
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.
par Stefan Lueders, Computer Security Team
