Pour gérer vos consentements :

Sécurité IT : une faille pour deux milliards de smartphones

Le ton est donné : la sécurité des terminaux mobiles sera bien l’une des grandes thématiques de la conférence Black Hat 2014, après la découverte, par Accuvant Labs, d’une faille exposant plus de deux milliards de smartphones à des vols de données.

La firme américaine évoque une vulnérabilité dans l’implémentation, par les constructeurs et/ou les opérateurs, d’une technologie permettant de gérer des appareils à distance. L’outil en question peut être exploité à de nombreuses fins : déployer des mises à jour, verrouiller l’utilisation du téléphone sur certains réseaux, configurer le roaming et la voix sur Wi-Fi, etc. Il est mis en oeuvre à travers un standard développé par l’Open Mobile Alliance (OMA).

Les opérateurs ont la possibilité d’y ajouter d’autres fonctionnalités allant de l’effacement à distance à la réinitialisation d’usine en passant par la modification du code PIN, l’identification des réseaux sans fil à proximité ou encore le contrôle des connexions Bluetooth. C’est sans compter la gestion des redirections serveur et des appels téléphoniques… mais aussi l’activation ou la désactivation d’applications, le tout sans nécessairement avertir l’utilisateur.

Pour réaliser toutes ces opérations, l’outil – sous-traité, dans la plupart des cas, à un éditeur tiers dont Accuvant Labs ne dévoile pas l’identité – s’exécute au niveau maximal de privilèges. Les risques sont d’autant plus importants si un pirate parvient à en prendre le contrôle : c’est la porte ouverte à l’installation de logiciels malveillants et à l’extorsion d’informations confidentielles.

Selon les deux chercheurs à l’origine de la découverte, un correctif a été publié pour cette colmater cette brèche, mais de nombreux opérateurs ne l’ont pas encore diffusé. Les systèmes d’exploitation Android et BlackBerry sont les plus affectés ; du coté des possesseurs d’iPhone, « seuls quelques clients de l’opérateur américain Sprint » sont affectés ; aucun test n’a encore été mené sur Windows Phone. Parmi les smartphones les plus exposés figurent le HTC One M7 et le BlackBerry Z10.

Conscients des risques liés au détournement de cette technologie qu’ils utilisent pour contrôler les smartphones de leurs clients, les opérateurs ont ajouté des couches de chiffrement, voire d’authentification. Mais toutes ces mesures sont contournables, assure Accuvant Labs. A condition toutefois de posséder une connaissance pointue du standard OMA et d’être capable de prendre le contrôle d’une antenne-relais ou d’un femtocell situé à proximité de l’appareil cible.

Un porte-parole de BlackBerry a confirmé, auprès de Reuters, les travaux menés en « étroite collaboration » avec Accuvant Labs pour résoudre le problème. Ni Apple, ni Google n’ont émis de commentaire.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : Alex Mit – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago