99 % des appareils Android touchés par une énorme faille

Christophe Laporte |

L’équipe de sécurité Bluebox clame avoir découvert une vulnérabilité dans le système de sécurité d’Android permettant à une personne malintentionnée par exemple de modifier le code d’un APK sans casser la signature de l’application.

Autrement dit, cette faille permettrait à un hacker de modifier le code d’une app afin de la transformer en cheval de Troie sans que le système ne s’en rende compte. La faille est d’autant plus grave qu’elle est présente depuis Android 1.6 qui est sorti il y a quasiment quatre ans. Potentiellement, cette faille concerne quasiment 900 millions d’appareils.

Si cette faille de sécurité est mise en œuvre, elle offre aux hackers une large palette de choix. Cela va du vol de données à la création d’un botnet mobile !

La menace est d’autant plus grave que dès qu’un Trojan s’est installé via une app, il a accès à l’intégralité du système, à toutes les applications ainsi qu’à leurs données. Il pourrait non seulement accéder à des données sensibles (mail, SMS, documents, accès aux mots de passe), mais prendre le contrôle de l’appareil pour réaliser certaines actions plus embarrassantes comme passer des coups de fil (on vous laisse imaginer les dégâts avec les numéros surtaxés), envoyer des SMS en rafale, ou enregistrer des appels.

La bonne nouvelle dans l’affaire, c’est que cette faille a été découverte par des chercheurs en sécurité et non des hackers. Le problème a été soumis à Google en février. Ce qui va être intéressant de voir dans cette affaire, c’est la réactivité des différents acteurs dans l’écosystème d’Android.

C’est un sacré test pour Google et ses partenaires. La faille sera dévoilée en détail à l’occasion de la conférence Black Hat qui se tient du 27 juillet au 1er aout à Las Vegas.

En attendant la sortie d’un correctif, l’équipe de Bluebox vous recommande de redoubler de vigilance lorsque vous téléchargez une app avec un smartphone Android.

[MàJ] ComputerWorld rapporte que le Galaxy S4 inclut déjà un patch afin de se prémunir contre cette faille. Google, de son côté, travaille toujours sur un correctif pour ses Nexus.

Tags
#sécurité #android
avatar nielsfort | 
c'est un téléphone bada qui illustre cette news...
avatar eipem | 
@Jean-Luc Droid : T'es bien sûr de toi. Qu'est-ce qui empêche un développeur malveillant de publier sur le PlayStore sans équipe de validation ? Se croire à l'abri derrière le PlayStore c'est au mieux totalement irresponsable, au pire suicidaire. Google n'interdit pas les Api privées. À partir de là Google peut bien avoir tous les bots et anti-virus de la planète, une Api malveillante inconnue reste indétectable.
avatar eipem | 
@malcolmZ07 : Comme d'habitude, la plus grosse faille de sécurité est entre la chaise et le clavier ^_^
avatar max68lola22 | 
ouf je n'ai ni iPhone incapable de telephoner correctement ni un bidule sous Android plein de trous ah Nokia N9 merci mode troll off
avatar eipem | 
@alan63 : T'as pas d'iPhone ? Alors comment tu sais que Safari y est "trop petit" pour tes vieux yeux ?
avatar max68lola22 | 
j'avais...
avatar max68lola22 | 
original... j'ai du lire cette phrase 387654312324565345 de fois félicitations..
avatar max68lola22 | 
ce n'est pas un secret , la réception tel n'est pas le point fort de l'iPhone4 ni du4S et quand comme moi tu te ballades dans des endroits défavorisés en Afrique ou en Asie c'est l'horreur ( dans les montagnes auvergnates aussi parfois ). Par contre avec un tel basique c'est ok
avatar max68lola22 | 
Arf dans certains villages africains iMessage c'est plutôt signaux de fumée...au Laos ou en Birmanie c'est pareil et si tu veux télécharger IOS7 ça sera fini lors de la sortie de IOS11...
avatar eipem | 
@alan63 : Bof. Un iMessage prend autant de Data qu'un SMS. Si t'as internet, t'as le iMessage. Même sur du 56K ça passe. À KeurMoussa au Sénégal, Skype est plus utilisé que le réseau téléphonique. Ça dépend des coins du monde. En tout cas, quoi que tu dises, le iMessage, comme toute messagerie VoIP, est une solution SUPPLEMENTAIRE. Donc je vois pas ce que tu peux lui repprocher.
avatar max68lola22 | 
je reproche rien aiMessage si ce n'est que dans les pays pauvres, rare sont ceux qui ont du matériel pommé et comme iMessage ne fonctionne que avec Apple... pour le reste je maintiens que la qualité de réception n"est pas terrible avec un iPhone (même à Bangkok) et que mon Nokia N9 passe mieux
avatar eipem | 
@alan63 : 'pour le reste je maintiens que la qualité de réception n"est pas terrible avec un iPhone (même à Bangkok) et que mon Nokia N9 passe mieux' Dans la mesure où tu n'as eu que le premier, je vois pas sur quoi tu te bases.
avatar eipem | 
@alan63 : D'accord. Désolé alors. Cela dit, Ça n'explique pas sur quoi tu te bases pour dire que l'iPhone ne sait pas téléphoner. Par ailleurs, je suis actuellement hors réseau, mais je continue de recevoir mes iMessages grâce au Wifi. Il sait faire ça ton Nokia ?
avatar max68lola22 | 
j'ai pas besoin de tout ça moi, je suis un vioque iMessage Facetime je m'en branle la seule chose que je souhaite c'est d'avoir une réception correcte sur l'iPhone 3GS ok ,sur l'iPhone 4 elle ne l'était pas sur le 4s à peine mieux Sur le Nokia c'est parfait
avatar verlenefraynertjbu | 
que ça aide les râleurs qui critiquent le soi-disant "monde fermé" d'Apple à comprendre un peu à quoi ça sert... et aussi tous ceux qui pensent qu'on peut appliquer aux voitures "connectées" les mêmes recettes qu'aux smartphones...
avatar eipem | 
@phantoom : 'T'es obligé de passé par le store officiel pour télécharger des apps. Et forcement, ces dernières n'ont pas pu être modifiés par quelqu'un d'autre que le dev lui même...' Y a pas d'équipe de validation derrière le PlayStore. Qu'est-ce qui empêche un développeur malveillant d'y mettre un malware ?
avatar Abudah237 | 
@joneskind : Il y en a déjà eu d'ailleurs.
avatar eipem | 
@phantoom : Ça arrive souvent qu'une app soit retirée à distance ? Quid du code dormant ? Ex: une app attend d'avoir atteint une masse critique - 100 000 installations - puis d'un seul coup, tous les téléphones envoient des SMS surtaxés. Comment tu fais ? Tu ne peux pas empêcher ça.
avatar eipem | 
@phantoom : Et les API privées ? Tu sais bien qu'un développeur peut développer ses propres API ! C'est pour ça qu'elles sont interdites sur l'Appstore !
avatar Billytyper2 | 
@phantoom Non pas aussi simple que ça. Le problème est que la méthode permet de casser la signature. A partir de là, même l'équipe de validation aura du mal à différencier la vrai application de la fausse.
avatar Fumomono | 
La plus grosse faille sur tous les appareils reste le gouvernement Américain et d'autres pays mais ça a été assez débattu ces derniers temps ..
avatar jseb1504 | 
@sebhug : N'importe quoi !
avatar jseb1504 | 
Game of trolls .... ;)
avatar popo69 | 
@Cowboy Funcky si tu fais preuve de fermeture d'esprit, il y a des sites bien meilleurs que nous !
avatar folipatrice | 
@Cowboy Funcky a raison, on ne va pas dans une pizzeria pour manger chinois. Quand on s'intéresse à Androïd, on ne vient pas sur iGen pour avoir des infos pertinentes. Il n'y a aucune fermeture d'esprit, bien au contraire, sauf celle de cl97 dont la réaction est insultante et inadmissible de la part d'un membre de l'équipe d'iGen.
avatar Homer Simpson | 
@heret : Si tu vas dans une pizzeria qui fait aussi des plats chinois, personne ne t'interdit de lire la carte et de zapper la page consacrée à ces plats ! Tu peux même zapper la page "pâtes", vu que les nouilles ont été inventées par les chinois des siècles avant les italiens, et te concentrer uniquement sur la page "pizzas" !
avatar eipem | 
@phantoom : Et dans le monde réel y a le virus OBAD qui se propage via des failles BT et NFC d'Android et qui est totalement hors de contrôle. Aussi...
avatar eipem | 
@phantoom : T'as bien lu l'article que tu cites ? C'est pas pour me vanter mais il est plutôt à la gloire d'iOS... Et puis à quoi ça sert de chercher les failles d'Android ? Il suffit de balancer un bon malware... Tu peux avoir 200 lucarnes ouvertes, si t'as une seule grande porte ouverte tu passes par la porte. Bref. Je vais me répéter. La première faille de sécurité est entre la chaise et le clavier. Et je comprends bien que tu te sentes obligé de défendre ton OS préféré. J'aurai fait pareil.
avatar eipem | 
@phantoom : 'Du moment que l'appareil conserve ses paramètres d'origine, Android et IOS c'est Kiff kiff en matière de sécurité.' J'ai pas l'impression. Sans équipe de validation, le PlayStore est une voie royale pour le développeur malveillant. C'est pas pour troller que je dis ça… Ok pour OBAD. Mais j'avais lu qu'il était surtout très difficile à détecter et à éliminer. Tant mieux si c'est moins grave que prévu.
avatar eipem | 
@Jill H : ??? Tu crois vraiment que c'est Apple qui est à l'origine de cette faille Android ??? T'es sérieux ? Tu aurais préféré ne pas en entendre parler sans doute ? Je crois qu'on tient un champion là...
avatar romaink | 
Et bin oui, c'est à ça que sert le soit disant "monde fermé" d'Apple !!! Garantir une simplicité d'utilisation irréprochable, et une sécurité qui s'en approche !!! Merci Apple :-)
avatar Apical-informatique | 
Finalement je suis content qu'Android soit le système mobile le plus important en terme de part de marche, même si c'est pas le fruit de leur capacité d'innovation mais plus leur talent a manier le copy & paste... Android va jouer le même rôle pour iOS que Windows a eu pour le Mac: celui de cible principale pour hackers !!!
avatar eipem | 
@phantoom : Sur ce coup, je suis de ton côté.
avatar Goliath 2 | 
Titre racoleur et mensonger, mais bon...
avatar PachaColbert | 
"Si cette faille de sécurité est mise en œuvre, elle offre aux hackers une large palette de choix. Cela va du vol de données à la création d’un botnet mobile !" D'après moi, la NSA vole "légalement ?" pas mal de données et doit même être capable avec le concours des concepteurs de systèmes d'exploitation tels que Microsoft, Apple, Google et Cie d'installer des botnets sur les smartphones de certaines personnes ciblées… Où est le mal !!!!!!
avatar eipem | 
@MachX : 'Où est le mal !!!!!!' ^_^
avatar imkl | 
LoL, Android est bien le nouveau Windows, avec ses défauts, dont les virus et malware... et en plus sans les màj possible... Les hackers doivent bien rigoler sur ce coup !
avatar -oldmac- | 
La bonne nouvelle c'est Ue 80% des utilisateurs de cette bouse verte ne sont quasiment pas connectes au net. Dommage, j'aurais bien aime un jeu de massacre ...
avatar eipem | 
@wolf : Le genre de méchanceté gratuite qui me fait marrer ^_^
avatar karak | 
Bravo Samsung looooool.

CONNEXION UTILISATEUR