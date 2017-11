publié le 21/11/2017 à 18:41

Si votre smartphone fait partie des près de 80% d'appareils Android concernés par cette faille, veillez à n'utiliser que des applications certifiées, sous peine de mettre vos informations personnelles en péril. Des chercheurs en sécurité de MRW Labs ont récemment mis au jour une vulnérabilité dans le système d'exploitation pour mobiles et tablettes de Google leur permettant d'accéder au micro et à l'affichage de l'écran sans que l'utilisateur ne le remarque.



La faille résulte d'une modification dans les autorisations de MediaProjection, un des programmes informatiques les plus anciens de l'univers Android qui permet aux développeurs d'enregistrer l'écran et l'audio d'un appareil. Dans les premières versions d'Android, ces derniers devaient bénéficier de privilèges et d'un accès spécial au téléphone pour l'utiliser. Mais depuis Android 5.0, MediaProjection est accessible à tous les développeurs sur une simple autorisation de l'utilisateur d'un smartphone.

Un milliard et demi d'appareils concernés

Pour obtenir le sésame, une application doit générer une fenêtre pop-up demandant l'accord explicite de l'utilisateur. Cette sécurité est facilement contournable. Les pirates peuvent intercepter l'apparition de la fenêtre et modifier le message s'affichant sur l'écran pour ne pas attirer l'attention de l'utilisateur qui donne ainsi, sans le savoir, l'accès à MediaProjection à une application malveillante.

Exemple de fenêtre pop-up originale Crédit : MRW Labs

Exemple de fenêtre pop-up modifiée Crédit : MRW Labs

Les chercheurs du MRW Labs ont communiqué leur découverte à Google en janvier 2017. Un correctif a été déployé en août pour Android 8.0 Oreo, la version la plus récente du système d'exploitation qui n'est installée que sur 0,3% du parc d'appareils Android. Les smartphones équipés d'une version d'Android comprise entre Lollipop 5.0 et Nougat 7.1.2 restent vulnérables. Cela représente 77,5% des terminaux Android dans le monde, selon les chercheurs, soit plus d'un milliard et demi d'appareils.



La liste des smartphones et tablettes compatibles avec Android 8.0 est régulièrement rafraîchie par nos confrères du site Frandroid. Les utilisateurs d'appareils non compatibles doivent veiller à ne pas télécharger d'application douteuse (en vérifiant le nom de l'éditeur, la date de publication et si les avis sont positifs) et à bien comprendre la teneur des messages surgissant dans des fenêtres pop-up avant de les valider.

Le gros problème des mises à jour d'Android

La sécurité est le problème numéro un d'Android. Le système d'exploitation pour mobiles de Google défraie régulièrement la chronique pour des applications renfermant des logiciels malveillants sur le Play Store et des failles repérées dans les versions les moins récentes de l'OS. Installé sur plus de deux milliards d'appareils actifs à ce jour, Android souffre d'une importante fragmentation : des versions différentes du logiciel sont encore en circulation et un très grand nombre de smartphones et tablettes différents les accueillent.



Pour qu'un smartphone soit mis à jour avec une nouvelle version d'Android, le logiciel doit être validé par le fabricant mais aussi par les opérateurs. Plusieurs mois peuvent ainsi s'écouler entre la sortie d'un nouvel Android et son déploiement pour les utilisateurs d'un smartphone. Conséquence, l'adoption des versions récentes d'Android prend de plus en plus de temps. Android Oreo 8.0 a été installé sur seulement 0,3% des appareils depuis son lancement en août.



Plus inquiétant, selon l'ingénieur informatique Dan Luu, plus d'un milliard de smartphones Android fonctionnent sous une version obsolète du système d'exploitation depuis deux ans ou plus. Ces appareils ne reçoivent plus de mises à jour de sécurité et constituent autant de portes d'entrées de choix pour les pirates car ils présentent des failles de sécurité qui n'ont pas été comblées et peuvent facilement être exploitées à des fins malveillantes.