Joshua Drake, un chercheur travaillant pour la firme de sécurité informatique Zimperiumen sécurité informatique, a découvert une faille qui permettrait de prendre le contrôle d’un smartphone Android. Le nom donné à cette faille critique est Stagefright.
Si elle est bien exploitée par un pirate malveillant, cette faille permet de prendre le contrôle d’un téléphone à distance, en envoyant un simple MMS. Au moment où elle a été révélée lundi dernier, 95% des smartphones équipés par le système d’exploitation de Google étaient touchés par cette faille. Cependant, il semble qu’aucune attaque n’ait encore réussi à l’exploiter.
Android, système d’exploitation installé sur quatre smartphones sur cinq dans le monde, est proposé par Google aux constructeurs d’appareils mobiles. Il est donc à la charge de ces constructeurs de fournir un correctif pour cette faille. Certains d’entre eux, comme Asus ou HTC, s’y sont déjà attelés. Ce processus peut néanmoins prendre plusieurs mois et tous les smartphones ne pourront pas être corrigés.
Les utilisateurs d’Android peuvent d’ores et déjà se protéger partiellement en désactivant «l’extraction automatique des MMS» dans les paramètres des MMS de leur téléphone. Mais ce n’est pas une solution définitive et il faut bien entendu que les utilisateurs installent le correctif qui a été ou sera fourni par leur constructeur.
Mais c’est une chose de découvrir une faille, c’en est une autre de l’exploiter. En guise d’apaisement, sachez que pour profiter d’une faille, il faut être en capacité de développer un programme qui passe outre toutes les couches de protection mises en place dans le système d’exploitation, autour de l’élément défaillant.
Sans doute quelque peu irrité par le bruit médiatique autour de Stagefright, le chef de la sécurité d’Android Adrian Ludwig a publié lundi un post à ce sujet sur son profil Google+. «Il y a une croyance courante qui suppose que n’importe bug logiciel peut être exploité d’un point de vue de la sécurité», déplore-t-il. «En fait, une grande part des bugs ne sont pas exploitables et il y a beaucoup de choses qu’Android a faites pour que cette part soit encore plus grande.»
