Un chercheur en sécurité informatique a découvert une faille qui permettrait, si elle est bien exploitée, de prendre le contrôle d’un smartphone Android grâce à un simple MMS.
C’est un baiser de la mort sous forme de MMS. Joshua Drake, un chercheur travaillant pour la firme de sécurité informatique Zimperium a découvert une faille critique dans le système d’exploitation Android. Son nom: Stagefright. Si elle est bien exploitée par un pirate malveillant, cette faille permet de prendre le contrôle d’un téléphone à distance, en envoyant un simple MMS. Au moment où elle a été révélée ce lundi, 95% des smartphones équipés par le système d’exploitation de Google étaient touchés par cette faille. Cependant, il semble qu’aucune attaque n’ait encore réussi à l’exploiter.
«Les attaquants n’ont besoin que de votre numéro de téléphone, grâce auquel ils peuvent exécuter du code à distance via un fichier média conçu à cet effet et envoyé par SMS», indique la firme de sécurité dans son communiqué. «Une attaque effectuée avec un arsenal complet pourrait même effacer le message avant que vous vous en rendiez compte.» La faille repose en effet sur le fait que, par défaut, Android télécharge le contenu d’un MMS avant qu’il soit ouvert, pour réduire les temps d’attente pour l’utilisateur. Zimperium imagine donc un scénario dans lequel, dans votre sommeil, un attaquant s’insère subrepticement dans le système de votre mobile. Sans donner plus de précisions, Joshua Draque indique que Stagefright peut être exploitée par d’autres moyens que l’envoi d’un SMS.
Un correctif qui peut tarder à arriver
Android, système d’exploitation installé sur quatre smartphones sur cinq dans le monde, est proposé par Google aux constructeurs d’appareils mobiles. Il est donc à la charge de ces constructeurs de fournir un correctif pour cette faille. Certains d’entre eux, comme Asus ou HTC, s’y sont déjà attelés. Ce processus peut néanmoins prendre plusieurs mois et tous les smartphones ne pourront pas être corrigés.
Les utilisateurs d’Android peuvent d’ores et déjà se protéger partiellement en désactivant «l’extraction automatique des MMS» dans les paramètres des MMS de leur téléphone. Mais ce n’est pas une solution définitive et il faut bien entendu que les utilisateurs installent le correctif qui a été ou sera fourni par leur constructeur.
C’est une chose de découvrir une faille, c’en est une autre de l’exploiter. Pour profiter d’une faille, il faut être en capacité de développer un programme qui passe outre toutes les couches de protection mise en place dans le système d’exploitation, autour de l’élément défaillant. Sans doute quelque peu irrité par le bruit médiatique autour de Stagefright, le chef de la sécurité d’Android Adrian Ludwig a publié lundi un post à ce sujet sur son profil Google+. «Il y a une croyance courante qui suppose que n’importe bug logiciel peut-être exploité d’un point de vue de la sécurité», déplore-t-il. «En fait, une grande part des bugs ne sont pas exploitables et il y a beaucoup de choses qu’Android a fait pour que cette part soit encore plus grande.»
Discussion à ce sujet post