Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Android : une faille critique corrigée, mais pas pour les anciens appareils

Déjà-vu

Android : une faille critique corrigée, mais pas pour les anciens appareils

Le 06 mai 2016 à 12h30

La société de sécurité FireEye a indiqué hier soir qu’Android était touché par une faille de sécurité vieille d’au moins cinq ans. Elle réside dans les API fournies par Qualcomm pour exploiter ses SoC. Le correctif a été diffusé le 1er mai, mais les anciens appareils sont une fois de plus laissés à la porte.

La dernière flopée mensuelle de mises jour de sécurité diffusée par Google contenant une rustine pour une faille assez sévère vieille de plusieurs années. C’est FireEye qui en explique les détails sur son blog, dans un billet publié hier soir. Estampillée CVE-2016-2060, cette brèche est apparue quand le fondeur Qualcomm a introduit plusieurs API permettant de relier les capacités de ses puces au service réseau d’Android, netd.

Une faille vieille de cinq ans

Ces API ayant été proposées dès 2011, la faille a donc cinq ans et concerne un très grand nombre d’appareils. On la retrouve dans toutes les versions d’Android sorties depuis, y compris dans les plus récentes si elles n’ont pas été mises à jour. Comme souvent, les moutures les plus anciennes seront les plus touchées, à cause de l’absence de certains mécanismes de sécurité.

Ce sont en effet Android 4.3 et les versions antérieures qui seront les plus facilement attaqués. Android 4.4 a introduit SEAndroid (Security Enhancements for Android), fournissant au système mobile plusieurs protections importantes, notamment pour le démon (service) netd et limitant les autorisations des applications. 

Car c’est bien ici que réside tout le problème. La faille permet en effet à une application n’ayant que des autorisations faibles de profiter de droits qu’elle n’est pas censée avoir. FireEye explique : « CVE-2016-2060 permet à une application a priori bénigne d’accéder à des données sensibles, dont les SMS et l’historique des appels, ainsi que la possibilité de réaliser des actions comme modifier les réglages du système et désactiver l’écran verrouillé ».

Ce délai a laissé amplement le temps à d'éventuels pirates de se servir de la brèche, même si FireEye indique ne pas être au courant de la moindre attaque active pour le moment. Ce qui pourrait bien entendu changer avec la publication des détails.

Les trois quarts des appareils ne seront pas mis à jour

FireEye insiste surtout sur le cas des appareils sous Android 4.3 ou autre version plus ancienne, car non seulement ils sont les plus vulnérables, mais ils ont de grandes chances de ne jamais être mis à jour. Le cas est moins grave pour Android 4.4, mais reste problématique. Rappelons en effet que les mises à jour pour Android publiées par Google ne concernent que les moutures 5.1 et 6.0 du système.

On reste donc sur la même problématique que Stagefright : la fragmentation de la plateforme joue un rôle désastreux pour la sécurité générale. Selon les derniers chiffres publiés par Google, plus d’un tiers des utilisateurs utilisent Android 4.3 ou une version plus ancienne. D’ailleurs, si l’on souhaite se concentrer uniquement sur les moutures capables d’être « patchées » mensuellement, alors seuls 26,9 % des terminaux sont concernés.

Une bonne décision, arrivée bien tardivement

Dans le sillage de Stagefright, de nombreux constructeurs ont annoncé des changements dans la politique de support, avec des engagements clairs autour des bulletins mensuels de Google. Ces derniers existaient déjà avant, mais la firme a bel et bien mis en place à cette occasion une vraie distribution des correctifs, et non plus simplement des informations. Samsung, LG, Sony et les autres ont accompagné le mouvement.

Cette décision, cruciale pour la sécurité des utilisateurs, était attendue depuis longtemps. Un trop grand nombre d’entreprises avaient tendance à considérer que le support technique et le service client s’arrêtaient avec l’acte d’achat. Parallèlement, la mise à jour vers les nouvelles versions majeures d’Android avait tendance à repousser les renouvellements de smartphones. Mais cette bascule a tardé, et le lent renouvellement du parc joue en défaveur de la sécurité.

Commentaires (45)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Y a un pont, mais finalement c’est quand-même un vendredi ordinaire

votre avatar

“FireEye reached out to Qualcomm in January 2016 and subsequently worked

with the Qualcomm Product Security Team to coordinate this blog release

and security advisory.”



La faille a été dévoilée en Janvier 2016. La NSA a largement eu le temps de jouer avec…

votre avatar

Ca toucherais que les ordiphone avec des processeurs qualcom ou tous ?

votre avatar

L’intérêt d’avoir un Nexus. Les mises à jour de sécurité publiées chaque mois.

votre avatar

Révélée à Qualcomm oui, mais pas publiquement.

votre avatar

Encore un moyen de forcer les gens à renouveler prématurément leur smartphone : ne pas livrer les patches de sécurité !!!

votre avatar

Bah il y a eut des MAJ sur pas mal quand même! Perso aujourd’hui c’est sur qu’il faut mieu un 950950 XL Bon après il faut mieu un Iphone c’est sur! <img data-src=" />

votre avatar







chp2 a écrit :



Je commence a en avoir marre d’Android.



Non pas que le système soit mauvais mais toute la politique Google et l’impossibilité de s’en protéger si son smartphone/tablette n’est pas rooté(e).

&nbsp;Les vraies applis qui permettent de protéger sa vie privée sont même interdites du play store.



Même IOS est plus protecteur de ce côté maintenant (alors que c’est Apple qui a initié ces viols).



Et maintenant cette&nbsp;volonté&nbsp;affichée de ne pas corriger les failles… comment dire… même microsoft assure des maj (KB) pour ses vieux OS.



Si vous avez des avis sur des alternatives (WinMobile, BlackBerry, …), je suis preneur.&nbsp; &nbsp;







De quoi tu parles ? Google publié justement mensuellement des patchs de sécurité afin que les terminaux soient protégés.

Des études récentes ont démontré que les appareils Nexus et les hauts de gamme des constructeurs qui jouent le jeu étaient les plus sûrs du marché. Si la sécurité est importante pour toi tu sais où te tourner.



Maintenant on ne peut pas non plus forcer ces compagnies a assurer un support de 10 ans. Le développement coûte cher et comme la moyenne de renouvellement d’un mobile est de deux ans, le rapport sur investissement n’en vaudrait pas vraiment la peine.


votre avatar

Pour le moment. En effet, et on aura de la chance si personne ne trouve un autre moyen. d’exploiter tout ça.&nbsp;



Le playstore n’est pas non plus le point d’entrée unique pour les appli dans le système de Google. Cette ouverture provoque une certaine porosité aux contrôles de sécurités voulu par google.

votre avatar

Oui enfin Cyanogen n’est pas parfait et des bug persistent.&nbsp; 



Par exemple pour mon Note 2 LTE :&nbsp;&nbsp;




TV-Out is non-functional&nbsp;

Camera randomly stops working, requiring a reboot.&nbsp;

After boot, phone needs to be put to sleep and woken to be able to enter passcode. &nbsp; 




En bref, tu as pas envie.&nbsp;


&nbsp;

Source :&nbsphttps://wiki.cyanogenmod.org/w/Known_Issues_page_for_t0lte

votre avatar







latlanh a écrit :



Bah il y a eut des MAJ sur pas mal quand même! Perso aujourd’hui c’est sur qu’il faut mieu un 950950 XL Bon après il faut mieu un Iphone c’est sur! <img data-src=" />





le “pas mal”, ça reste moins de 50% des terminaux WP en circulation.

Et sur WP/WM, W10m ne représente que 10% pour le moment…

&nbsp;

&nbsp;

J’ai un collègue de mon ancienne boite qui a un Jolla. C’est sympa, mais ça reste très “roots” dans l’approche.











Network a écrit :



Pour le moment. En effet, et on aura de la chance si personne ne trouve un autre moyen. d’exploiter tout ça.&nbsp;





Le playstore n’est pas non plus le point d’entrée unique pour les appli

dans le système de Google. Cette ouverture provoque une certaine

porosité aux contrôles de sécurités voulu par google.





On est d’accord


votre avatar

Où sont les trolls sur MS maintenant? <img data-src=" />

votre avatar

Petite question du coup :

Est-ce qu’on peut faire une image complète du système avant d’installer cyanogenmod et la remettre en cas de souci ?

J’ai commencé à regarder, je n’ai pas trouvé de réponse vraiment claire.

votre avatar

Nandroid backup <img data-src=" />







Perso google et samsung me saoule au plus au point, le premier pour ne pas mettre de pression pour forcer les maj de sécurité (ou bypasser le constructeur a ce niveau la ) et le second pour avoir abandonner le s4 qui roule comme un charme sous 6.0.1 (et qui en terme de caractéristiques fait jeu égal avec le N5 qui lui est maj <img data-src=" /> )

votre avatar

Merci. <img data-src=" />

votre avatar

Bon, du coup, tous les samsung avec enyxos, et androphone basé sur des soc intel ou autre ne sont pas touché ?

votre avatar

A bah j’ai précisé dès le début un téléphone W10M ! <img data-src=" /> et oui c’est roots mais ca a l’air de faire le taf! :d

votre avatar

Justement. Tu viens de mettre le doigt là où ça fait mal.



Pour moi c’est intolérable cette volonté d’obsolescence&nbsp;programmée des appareils sous des&nbsp;prétextes&nbsp;divers (tel que le suivi des vieux appareils). Ils n’avaient qu’à fournir un OS non modifié hein (AOSP)…

Même si c’est des simples patchs, quel est le fabricant (LG, Samsung, HTC,…) qui les distribue systématiquement et à temps? Les MAJ, cela devrait être fait comme pour OSX, &nbsp;IOS, Windows et Linux : faites par l’OS et non pas par le constructeur (dont les&nbsp;intérêts&nbsp;sont différents). C’est là le plus gros fail d’Android.



Le fail c’est aussi la volonté marquée de Google à réduire (voire interdire) les applications de&nbsp;réelle&nbsp;sécurité sur leur store car contraire à leur politique et obligeant à rooter son phone et à consulter des stores alternatifs (F-Droid, Amazon,…) pour trouver son bonheur mais aussi avec d’autres risques.



Le fail c’est les Google apps (obligatoirement pré-installées) : quelqu’un s’est réellement penché sur les droits qu’elles&nbsp;s’octroient&nbsp;sur nos données personnelles? sur notre vie privée? Je l’ai fait et c’est SIDERANT… Comment la CNIL peut autoriser ça?



Si Android sans les Google Apps est sûr ce n’est vraiment pas le cas quand tu y ajoutes les Google Apps.

votre avatar

Je me posais la question justement et voulais regarder les prises de libertés d’android sur nos vies privées.. Tu as des exemples d’abus ? (c’est pour en parler au boulot car on est tous Android pour le moment, mais notre DSI se dit très protectrice de nos données et des siennes…). Quid des téléphones chiffrés ?



Par contre, je comprends pas ce que vous dites par Google qui interdit les vraies apps de sécurité dans son store?



Ps : pour la maj qui devrait être faite par OS comme sur PC, +1

votre avatar

Les surcouches sont la force et la faiblesse d’Android.

De même que la possibilité laissée aux constructeurs d’intégrer leur propre hardware.



On ne peut pas blâmer Google de ne pas fournir de MAJ à des OS conçu pour fonctionner sur du matériel dont-il n’ont même pas accès aux sources (exemple : processeurs exynos de Samsung…).



Android est un système libre. Cela a ses avantages et ses inconvénients. Personnellement j’ai opté pour des raisons de sécurité pour des terminaux de la gamme Nexus, ce qui résout le problème.



Pour ce qui est des question de vie privée, tu peux te passer d’utiliser toutes les apps Google. Tu peux même les désactiver si tu le souhaites. Pour pousser plus loin, tu peux flasher des ROM comme Cyanogen qui en sont dépourvues.

Maintenant il faut savoir que si Google s’intéresse à toi, c’est surtout par le biais de tes métadonnées plutôt que de tes données.

votre avatar

J’ai un S4, il n’y a plus de màj depuis la 5.0.1, comment as tu installé la 6.0.1 ?

votre avatar

Android a quand même un gros défaut de conception de base s’il n’est pas possible à son éditeur de pouvoir le maintenir sans casser les surcouches réalisées par les intégrateurs.



Les logiciels libres ont pourtant ce problème en permanence avec les matériels dont les pilotes sont conçus par ingénierie inversée parce que le fabricant ne veut pas produire de logiciel dédié pour autre que que Machin. Et pourtant, ça n’empêche pas trouze milliards de distributions Linux d’exister et de pouvoir être maintenues sans dépendre du bon vouloir du fabricant du hardware.



Le problème c’est que le smartphone a été conçu de base comme ne pouvant pas fonctionner sur autre chose que le software avec lequel il est vendu (à moins de bricoler ou d’utiliser quelques rares modèles conçus pour) car son équivalent du BIOS d’un PC est complètement verrouillé.



Et aujourd’hui, ils payent les pots cassés de cette limitation absurde avec une catastrophe sécuritaire à grande échelle.

votre avatar

Mais Google peut très bien rajouter la détection de cette “attaque” dans l’analyse des applis avant leur mise en ligne sur le Play Store.

Ce qui limiterait grandement le risque d’exploitation

(en pratique, ça ne sera donc possible QUE via l’installation d’une appli tierce vérollée)

votre avatar

c’est plus globalement liée au fractionnement d’android.&nbsp;



Les téléphones d’un certain âge (plus ou moins jeunes selon les constructeurs … ) n’ont pas le droit aux dernières version d’android. Du coup déployer de nouvelles API en maintenant une exécution stable et sans perte de fonctionnalités pour ces anciennes versions couteraient trop cher.

votre avatar

ou de l’exécution de code malveillant par un site vérolé. ou d’un fichier vérolé transféré sur le tel. Les appli ne sont pas le seul point d’entrée.

votre avatar

Le lien entre mise-à-jour de sécurité et nouvelles APIs ??? <img data-src=" />

votre avatar

La faille en question est dans les API Qualcomm. J’imagine que leur correction passe par une maj des API également. non ?&nbsp;

votre avatar

Je commence a en avoir marre d’Android.



Non pas que le système soit mauvais mais toute la politique Google et l’impossibilité de s’en protéger si son smartphone/tablette n’est pas rooté(e).

&nbsp;Les vraies applis qui permettent de protéger sa vie privée sont même interdites du play store.



Même IOS est plus protecteur de ce côté maintenant (alors que c’est Apple qui a initié ces viols).



Et maintenant cette&nbsp;volonté&nbsp;affichée de ne pas corriger les failles… comment dire… même microsoft assure des maj (KB) pour ses vieux OS.



Si vous avez des avis sur des alternatives (WinMobile, BlackBerry, …), je suis preneur.&nbsp; &nbsp;

votre avatar







tuxicoman a écrit :



L’intérêt d’avoir un Nexus. Les mises à jour de sécurité publiées chaque mois.





Sauf si t’as un Nexus One, Nexus S ou Galaxy Nexus ;)


votre avatar

Le I veut dire interface:

Changer le code d’une «lib» peut se faire sans modifier l’interface.



Et quand on dit «bug dans telle API», c’est le plus souvent un abus de langage pour dire «bug dans le code qui implémente cette API».



Par ailleurs, quand on décide de changer la définition d’une interface, on peut s’arranger (sauf cas très particulier) pour le faire de manière de manière à conserver la compatibilité.

Genre: «On a oublié de préciser que telle chaine de caractères en entrée devait obéir à certaines conditions. Tous les utilisateurs bien intentionnés se limitent évidemment à ce cas d’usage. On va rajouter une vérification qui rejettera les appels litigieux»



Cela étant, il n’empêche que maj. de sécurité ont bien du mal à être effectivement mises à disposition des utilsateurs. Les étapes à franchir:




  1. Google voit qqchose

  2. Le fournisseur du SoC se donne la peine de faire évoluer kernel et driver

  3. Le constructeur se donne la peine de prendre en compte les évolution du (2)

  4. L’opérateur se donne la peine de prendre en compte les évolutions du (3)

    &nbsp;&nbsp;&nbsp; (on voit à cette occasion la plaie des téléphones avec surcouche opérateur).

    &nbsp;

votre avatar

Ben tu cite les 2 altérnative viable! W10M (sauf manque de quelque appli) ou ios! ^^

votre avatar

Cyanogenmod ? ( oui, bien trapu à installer, mais que du bonheur avec un vieux flaship : LG G2 pour moi ).

votre avatar







Network a écrit :



ou de l’exécution de code malveillant par un site vérolé. ou d’un fichier vérolé transféré sur le tel. Les appli ne sont pas le seul point d’entrée.





Euh… je lis :

«&nbsp;CVE-2016-2060 permet à une application a priori bénigne d’accéder à

des données sensibles, dont les SMS et l’historique des appels, ainsi

que la possibilité de réaliser des actions comme modifier les réglages

du système et désactiver l’écran verrouillé&nbsp;».

&nbsp;

Pour moi le point d’entrée, c’est une appli…


votre avatar







latlanh a écrit :



Ben tu cite les 2 altérnative viable! W10M (sauf manque de quelque appli) ou ios! ^^





Ouai enfin les appareils des constructeurs tiers sous WP n’ont pas eu plus de succès…


votre avatar

A non mais je dis bien W10M donc un lumnia et c’est tt! <img data-src=" />

votre avatar







latlanh a écrit :



A non mais je dis bien W10M donc un lumnia et c’est tt! <img data-src=" />





Et encore, pas n’importe quel Lumia puisque la majorité n’est pas éligible à W10m finalement <img data-src=" />


votre avatar

Blackberry met à jour son Priv sous Android day one.

Samsung presque.

LG : mon G4 est toujours sous patch de sécurité de mars… (maj en même temps que Marshmallow).

Comme je l’ai déjà dit : une bonne grosse catastrophe de sécurité pend au nez d’Android. Y a que ça qui fera bouger les choses : un vrai accident avec une vraie compromission de qqes millions de téléphones. C’est triste d’en être là. C’est comme les grandes catastrophe industrielles : pour un bon nombre, une prise en compte du retour d’expérience les auraient évitées.

Perso, j’aime moyen la fermeture excessive d’iOS (ce qui le protège en même temps). Du coup, je suis sur BB Priv. Windows Mobile est tranquille : c’est comme les mac d’il y a qqes années, peu d’utilisateurs = peu de menaces.

Pas grand chose d’autre, en attendant qu’éventuellement Sailfish OS arrive sur un téléphoen qu’on peut acheter.

votre avatar

Y a pas de soucis avec WM8.

votre avatar

J’ai flashé cette version : 6.0.1 aosp.

Jamais eu de problèmes (bon il peut toujours y avoir des bugs mineurs).



Si jamais t’as besoin d’aide hésite pas a me pm <img data-src=" />

votre avatar

Le souci est qu’il n’existe aucune méthode d’analyse automatique fiable (tant chez Google que chez Apple) pour arriver une possibilité d’attaque.

votre avatar

C’est sûr qu’après, ça dépend des modèles. C’est bien pour ça que je réserve mon avis à la seule utilisation de cyanogenmod sur des vieux flagship. ( Galaxy S2, puis LG G2 )

votre avatar

tel quel,non.

Tu dois d’abord rooter ton tel, puis installer un bootloader alternatif ( un mini-systeme) comme TWRP.

Après ça, booter sur TWRP, puis faire une sauvegarde de ta rom d’origine ( mais qui sera rootee ).



lien contenant des liens utiles :

http://forum.xda-developers.com/lg-g2/development/boot-g2-hybrid-bootstacks-t318…

votre avatar

Merci <img data-src=" />



Ca veut dire qu’ils se foutent vraiment de notre gueule.



Je n’utilise pas ANT+, ce ne sera pas une perte.

votre avatar

Clairement. De toute façon, tous les appareils qui peuvent faire tourner LP peuvent faire tourner MM.

votre avatar

<img data-src=" /> Merci pour le lien. pour le mode root, c’est déjà fait. Je préfère poser la question parce qu’à force d’intuiter on finit par se tromper et autant au boulot ce n’est pas grave, autant sur le téléphone, je préfère éviter.

Android : une faille critique corrigée, mais pas pour les anciens appareils

  • Une faille vieille de cinq ans

  • Les trois quarts des appareils ne seront pas mis à jour

  • Une bonne décision, arrivée bien tardivement

Fermer