Sans l’examen détaillé de ces 146 vulnérabilités, il n’est pas possible de savoir, avec la seule liste établie par l’entreprise, combien de failles étaient réellement critiques, mais la plupart des utilisateurs reconnaîtraient sans difficulté que 146 failles de sécurité, rien qu’en 2019, cela fait tout de même beaucoup !
Celles-ci pourraient permettre notamment la modification des propriétés du système (28,1%) et des paramètres wifi (17,8%), l’installation d’applications (23,3%) et l’exécution de commandes (20,5%).
N’oubliez pas que ces appareils, y compris les smartphones Android fabriqués par Samsung et Xiaomi, n’avaient encore jamais été allumés, et n’avaient pas eu non plus l’opportunité de télécharger des applications douteuses. En effet, il s’agit là de problèmes de sécurité livrés avec votre nouveau téléphone, et non d’applications malveillantes qui auraient tenté de compromettre votre appareil lors de son utilisation.
Le coupable est une gamme de logiciels spécifiques à chaque fabricant, installés en plus d’Android lui-même ou de ses applications Google.
Cependant, comme avec les applications Android et Google, celles-ci ne peuvent pas être désinstallées. La seule façon de corriger l’une de ces failles est de signaler le problème au fabricant de smartphone et de le laisser développer un correctif.
Les usines en cause
Ce type de problème n’est pas nouveau, bien sûr. En août 2019, Maddie Stone, chercheuse au sein de l’équipe Project Zero de Goolge, a fait une présentation lors de la conférence Black Hat pour souligner le problème de ces malwares, qu’elle et ses collègues avaient découverts, installés sur des smartphones Android au niveau de la chaîne logistique.
Il s’agit ici d’un logiciel installé délibérément à des fins malveillantes plutôt que d’un logiciel vulnérable à proprement parlé, néanmoins la conséquence du point de vue de l’utilisateur reste qu’il est en danger sans le savoir.
Par exemple, le botnet Chamois, spécialisé dans la fraude au clic et au SMS, a réussi à infecter 21 millions d’appareils. Même après un nettoyage global, deux ans plus tard, il était toujours présent dans les appareils de près de 7,4 millions de victimes.
Moins c’est encore trop
Quel est donc le problème de fond ici ? Comme ces équipements font partie de chaînes logistiques logicielles et matérielles complexes, il se peut qu’au final, le fait que ces smartphones Android soient devenus vulnérables ou aient été compromis ne soit pas si surprenant que cela.
Faux ! selon Kryptowire, dont le CEO, Angelos Stavrou, a souligné un point important dans une interview accordé à Wired :
Nous pensons que si vous êtes un fournisseur, vous ne devriez pas accepter que quiconque ait le même niveau de permission que vous au sein du système. Cela ne devrait pas être une chose automatique.
On pourrait également souligner que les fournisseurs ne devraient peut-être pas installer autant de logiciels intégrés dès l’usine, sur les smartphones Android, que les utilisateurs ne peuvent en plus pas désinstaller. On soupçonne que certains d’entre eux ne sont là que pour des motifs commerciaux, une situation quelque peu inacceptable dans la mesure où la sécurité d’un appareil est mise en danger.
Notre conseil est donc d’acheter plutôt auprès d’un fournisseur qui vend du stock Android, ou presque (c’est-à-dire avec un minimum de logiciels supplémentaires).
La plupart des fabricants chez lesquels Kryptowire a identifié des dispositifs vulnérables sont des marques connues par aucun autre pays que ceux d’Asie. D’autre part, un nombre disproportionné de failles ont été trouvées dans des marques bien connues.
Sans aucun doute, il serait utile que les fabricants d’appareils Android passent plus de temps à examiner leurs produits afin de déterminer le type de vulnérabilités que les entreprises de sécurité semblent pouvoir découvrir très facilement une fois qu’ils ont été expédiés. Est-ce possible ? À vous de jouer Google !
Billet inspiré de Brand new Android smartphones shipped with 146 security flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.