SilentCircle a diffusé une importante mise à jour de sécurité pour son premier BlackPhone. Une vulnérabilité permettait en effet, une fois exploitée, de passer des commandes au modem du smartphone. La version 2 de ce dernier n’est pas concernée.

Le marché des smartphones est parfois marqué par la sortie d’un modèle totalement dédié à la sécurité. C’est le cas du BlackPhone de SilentCircle, dont une version 2 est disponible depuis quelques mois. Dans cette course, il a été rejoint depuis par le GranitePhone, puis par le BlackBerry Priv. Chacun ses technologies et sa philosophie, mais l’objectif est toujours le même : protéger les informations de l’utilisateur, les chiffrer, les anonymiser même parfois.

Une faille découverte en août dernier

Idéalement, un tel produit ne devrait jamais être affecté par une vulnérabilité critique, mais le premier BlackPhone ne peut plus prétendre à cette virginité. La société SilentCircle diffuse ainsi depuis un mois une mise à jour critique estampillée 1.1.13 RC3. Si l’information ne remonte que maintenant, c’est par contre que le découvreur de la brèche, SentinelOne, avait reçu pour instruction d’attendre pour en dévoiler les détails. Initialement, la faille a même été trouvée en août dernier, avant de se voir attribuer le matricule CVE-2015-6841 le 10 septembre.

La société de sécurité a donc publié mercredi un billet de blog pour expliquer sa trouvaille. La faille est en effet dangereuse car elle permet en cas d’exploitation d’envoyer des commandes arbitraires au modem, afin de lui faire passer des appels, envoyer ou intercepter des SMS, changer les paramètres de gestion de l’énergie, modifier les réglages des points d’accès réseau et même entrainer la désactivation complète du modem, même si ce dernier point n’est jamais le plus intéressant pour les pirates. Il faut aller effectuer une réinitialisation matérielle de l’appareil pour un restaurer le fonctionnement.

Un socket réseau ouvert aux quatres vents

Le problème résidait dans un socket réseau restant ouvert alors qu’il n’aurait pas dû. Il n’est pas documenté, et SentinelOne précise qu’on en trouve que très rarement mention sur Internet, comme pour SELinux sur Android. Concrètement, si un pirate savait où et quoi chercher, il aurait trouvé ce socket et aurait pu exploiter la faille. Pour y parvenir, il devait cependant se débrouiller pour faire exécuter le code d’exploitation de manière locale, ce qui supposait qu’un logiciel malveillant soit présent.

En théorie, l’arrivée du correctif le 7 décembre et le silence de SentinelOne ont normalement garanti que la faille n’a pas été ébruitée. La conclusion de la société de sécurité est cependant en demi-teinte : « Cette vulnérabilité illustre l’ampleur et la profondeur de la surface d’attaque sur cet appareil et sur d’autres. Elle pose également plusieurs questions importantes pour les professionnelles de la sécurité. Premièrement, même les systèmes les plus sécurisés peuvent être vulnérables aux attaques. Deuxièmement, la proportion croissante de technologies tierces (matériel, pilotes, bibliothèques système, etc.) utilisées dans les appareils d’aujourd’hui rendent la détection et la correction des failles plus difficiles que jamais ».

Surveiller l'activité des processus

Pour SentinelOn, il ne serait pourtant pas si compliqué de mettre en place des mécanismes de défense : « Enfin, presque toutes les vulnérabilités réclament un malware pour être exploitées à distance. Surveiller les processus sur un appareil pourrait fournir une couche importante de détection et de réponse quand des requêtes apparemment légitimes sont émises depuis des sources douteuses. »

Ceux qui possèdent le BlackPhone et ne l’ont pas encore mis à jour ont donc tout intérêt à le faire dès à présent. Pour rappel, seule la première version du smartphone est concernée. Si le système indique déjà être en mouture 1.1.13 RC3, c’est qu’il est déjà à jour.