Risques de piratages : ces 146 failles pré-installées sur les smartphones Android<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Risques de piratages : ces 146 failles pré-installées sur les smartphones Android
©Reuters

Risques de piratages

Les dizaines de nouvelles vulnérabilités au « firmware », réparties sur 29 fabricants de smartphones Android, montrent à quel point ces appareils dernier cri sont en réalité peu sûrs.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : La société de sécurité « Kriptoware » annonce avoir découvert 146 vulnérabilités préinstallées potentiellement préjudiciables sur les téléphones fonctionnant sous Android. Quels peuvent-en être les risques ?

Franck DeCloquement : Les chercheurs de la société Kryptowire ont par exemple identifié le Galaxy S7 comme l'un des smartphones intégrant le plus de ces failles potentielles. Samsung conteste pourtant leur gravité. Bien connu des spécialistes, la sécurité de l’écosystème digital des appareils tournant sous Android – le système d'exploitation mobile fondé sur le noyau Linux, développé par Google et lancé en 2007 – a toujours été assez compliquée à garantir. D’autant plus, depuis que les experts spécialisés se penchent sur les « firmwares ». Lorsque l’on acquière un nouveau smartphone, on doit souvent compter avec la multitude d’applications préinstallées sur nos appareils. Et selon un rapport publié le 16 novembre dernier par la société d’expertise Kryptowire, une entreprise spécialisée en sécurité informatique, ces applications seraient aussi des nids à failles de sécurité. 146 failles de ce type auraient en effet été découvertes dans les firmwares d’au moins 33 fabricants de smartphones selon le magazine Wired. 

Mais qu’est-ce au juste qu’un « firmwares » ? Dans un système informatique, un « firmware » (ou micro-logiciel, microcode, logiciel interne, logiciel embarqué, ou encore microprogramme), est en réalité un programme intégré dans un matériel informatique (ordinateur, photocopieur, disque dur, routeur, automate API, APS, appareil de photo numérique, etc.) pour qu'il puisse fonctionner. Le « firmware » permet donc à un matériel informatique d’évoluer – via des mises à jour – et d'intégrer dans le temps de nouvelles fonctionnalités, sans avoir pour cela besoin de revoir complètement le design du hardware.  

Pléthores de ces vulnérabilités ont été retrouvées chez les fournisseurs d’appareils téléphoniques qui sont aussi, très souvent, d’obscures marques asiatiques… Mais également – et c’est beaucoup plus préoccupant – chez des acteurs institutionnels beaucoup plus connus du secteur de la téléphonie mobile, à l’image de Samsung, Asus, ou Xiaomi. Chez ces trois derniers opérateurs, les failles sont mêmes présentes en très grand nombre. Et selon Kryptowire, 33, 26 et 15 vulnérabilités auraient d’ailleurs été respectivement retrouvées chez eux. L’affaire est donc sérieuse. Parmi les 146 failles détectées, on découvre un peu de tout : des chargements de code à la volée, des exécutions de commandes, des installations d’applications, des enregistrements sauvages de voix/vidéo, des modifications de paramètres systèmes ou réseau. Pour les déceler, la société d’expertise « Kryptowire » s’est appuyée sur une plateforme qui scanne les firmwares de manière automatisée. Elle est non seulement capable de détecter les failles, mais aussi de fournir les éléments techniques pour quérir techniquement la preuve manifeste de celles-ci. Ce qui facilite aussi grandement les analystes quant à  la création d’exploits.

A l'heure ou sonnent partout dans les médias, le tocsin des augures sombres de la guerre digitale, comment se protéger de ce type d’actions malveillantes potentielles ?

Franck DeCloquement :Ce risque est toujours à gérer avec finesse. Ce dernier rapport montre que dans tous les cas de figure, les « firmwares » des différentes marques sont le nouveau talon d’Achille des fournisseurs de smartphones fonctionnant sous Android. Ceux-ci agrègent dans leurs surcouches une pléthore d’applications dont certaines proviennent très souvent en droite ligne d’éditeurs tiers. Mais la qualité logicielle intrinsèque de ces applications n’est visiblement pas assez testée par les laboratoires des marques, ou très peu mise à l’épreuve. 

Ce n’est toutefois pas la première fois que ce problème est en outre soulevé par les experts du secteur. Il s’agit même d’une sorte de « marronnier » que l’on retrouve périodiquement dans la presse informatique spécialisée. En août 2018, Kryptowire avait déjà publié une liste de 38 failles découvertes dans 25 smartphones de marques. En avril 2019, un groupe de chercheurs avait aussi publié les résultats d’une analyse de 82 501 applications préinstallées, avec un résultat plutôt calamiteux in fine. Cette problématique persiste également sur les écrans radars de la firme Google, qui passe très régulièrement les firmwares de ses partenaires au peigne fin depuis 2017. Mais visiblement, pour un résultat opérationnel très suffisant.

Pour les firmes impliquées telles que Samsung ou Asus, quels sont les dangers liés à la persistance de ces vulnérabilités ?

Franck DeCloquement : Résumons : enregistrer vos conversations, modifier les réglages de votre téléphone à votre insu, installer des applications malveillantes sans votre accord pour exécuter des commandes cachées, toutes ces opérations peuvent être ainsi concrètement mises en œuvre sur votre smartphone Android. Et ceci, avant même que vous le sortiez de son emballage. Les vulnérabilités détectées concernent pour l’essentiel la modification de certaines propriétés système et l’installation d’application. Mais pour pour 5,5 % d’entre elles, l’enregistrement audio également... Certaines d’entre elles ne sont pas directement accessibles, mais d’autres sont en revanche explorables à partir d’une application téléchargée du Play Store.

Interrogée par Wired, la firme Samsung conteste vivement les conclusions de Kryptowire. D’après le fournisseur sud-coréen, les 33 failles mises en avant dans le rapport ne pourraient pas être exploitées, grâce au cadre de sécurité d’Android. Les experts de la Kryptowire de leur côté ne sont pas d'accord : l’entreprise d’expertise estime que leur exploitation est bel et bien réalisable et parfaitement exécutable en l’état. Dans le cadre d’une d’infection virale ou d’une application malveillante, l’utilisateur pourrait intervenir. Mais comme l’a récemment indiqué le PDG de « Kryptowire » dans la presse, Angelos Stavrou, la situation est bien plus problématique et scabreuse lorsqu’il s’agit d’une application préinstallée : « Si le problème se situe à l’intérieur de l’appareil, cela signifie que l’utilisateur n’a pas d’options. Parce que le code est profondément enfoui dans le système lui-même. Et l’utilisateur ne peut rien faire pour supprimer la fonctionnalité en question. » Samsung a averti les fabricants concernés qui décideront de fournir une mise à jour… Ou pas.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !