21 janvier 2016
Il y a quelques jours à peine, Perception Point, une entreprise israélienne de cybersécurité, a découvert une vulnérabilité de sécurité zéro jour dans le noyau Linux qui alimente un nombre infini de serveurs, d'ordinateurs de bureau et, plus important encore, d'appareils mobiles Android. Un pirate informatique souhaitant tirer parti de cette vulnérabilité pourrait obtenir les privilèges de niveau racine sur un appareil et soit obtenir un accès non autorisé à des données, soit exécuter du code selon sa volonté.
- FAQ sur les stratégies de protection des données pour les entreprises
En savoir plus sur le défaut du noyau Linux
Selon les experts, le problème réside dans le noyau Linux, qui est à peu près le même sur les serveurs, les PC et les appareils Android. Cette faille, qui porte le nom de CVE-2016-0728, aurait affecté plus de 60% des appareils Android. Incidemment, cette faille a fait son apparition dès 2012 dans la version 3.8 de Linux et existe toujours sur les systèmes Linux 32 bits et 64 bits.
Ce qui est inquiétant, c’est que cette vulnérabilité existe depuis près de 3 ans et a potentiellement permis à des pirates informatiques d’obtenir un contrôle non autorisé sur des serveurs exécutés sous Linux, des PC, Android et d’autres périphériques intégrés. Il provient essentiellement de la fonction de trousseau du noyau et permet aux applications s'exécutant sous un utilisateur local d'exécuter du code dans le noyau. Cela signifie que cette vulnérabilité pourrait exposer les informations sensibles des utilisateurs, notamment les clés d'authentification et de chiffrement.
- Comment les développeurs d'applications peuvent-ils garantir une meilleure sécurité mobile des clients?
Comment cela pourrait-il menacer Android?
Ce qui pourrait potentiellement faire de cette vulnérabilité une préoccupation majeure est qu'elle affecte toutes les architectures, y compris ARM. Cela implique automatiquement que tous les appareils Android exécutant Android 4.4 KitKat et les versions ultérieures en subiront les conséquences. Actuellement, cela représente près de 70% de tous les appareils Android.
Le système d'exploitation Android est déjà connu pour son haut degré de fragmentation et ses retards de mise à jour. Google partage les correctifs de sécurité avec les fabricants d’appareils, qui les appliquent ensuite séparément. La société distribue d’autres mises à jour en association avec les opérateurs de téléphonie mobile concernés. Pour compliquer encore les choses, la plupart de ces périphériques ne bénéficient que d’une assistance logicielle pour une période de 18 mois, à la suite de quoi ils ne reçoivent plus aucune mise à jour ni aucun correctif. Cela implique que de nombreux utilisateurs d'appareils, en particulier ceux qui utilisent d'anciens appareils Android, ne pourront jamais se prévaloir des dernières mises à jour et corrections de bugs.
Cet incident semblerait indiquer aux utilisateurs que les anciennes versions d'Android ne seraient plus sécuritaires et qu'ils devraient constamment mettre à niveau leurs appareils pour bénéficier des dernières fonctionnalités de sécurité. Cela aussi constituerait une solution peu pratique au problème - tout le monde ne serait pas disposé à changer de smartphone ou de tablette une fois par an.
Jusqu'à présent, le secteur des technologies mobiles a été exposé à des types de logiciels malveillants peu sophistiqués. À ce jour, aucune attaque de hack n’a constitué une menace réelle et sérieuse pour les utilisateurs. Cependant, le fait demeure qu'Android est une cible ciblée des logiciels malveillants et il se pourrait que quelqu'un ne lance une attaque massive contre ses vulnérabilités existantes.
- ESET Mobile Security pour Android - Version gratuite
Que prévoient Linux et Google?
Heureusement, bien que la vulnérabilité existe, aucune attaque de hack n'a encore été détectée. Cependant, les experts en sécurité vont maintenant chercher plus avant pour savoir si cette vulnérabilité a été exploitée dans un passé récent. Les équipes de sécurité Linux et Red Hat travaillent déjà à la publication de correctifs associés. Ils devraient être disponibles d’ici la fin de cette semaine. Cependant, certains systèmes risquent de rester vulnérables, du moins pendant un certain temps.
Google ne pouvait pas donner une réponse immédiate et définitive quant au moment où la faille serait corrigée dans la base de code Android. Cet écosystème, étant open source, il reviendrait aux fabricants et aux développeurs d’appareils d’ajouter et de distribuer le correctif à leurs clients. En attendant, Google continuera, comme toujours, à publier des mises à jour mensuelles et des correctifs de bogues pour sa gamme d'appareils Android Nexus. Le géant prévoit de prendre en charge chacun de ses modèles pendant au moins deux ans à compter de la date de la vente initiale dans sa boutique en ligne.
- Android OS Vs. Apple iOS - Quel est le meilleur pour les développeurs?
