Sécurité IT : Google engagé dans une course sans fin pour protéger Android
Conférence Black Hat : les pirates rivalisent d’ingéniosité pour contourner les dispositifs de sécurité sur Android. Les experts en sécurité IT regardent d’un mauvais oeil le NFC et le JavaScript.
De nouvelles menaces intangibles pèsent sur la sécurité IT de l’écosystème Android. Mais potentiellement dévastatrices.
Des hackers ont découvert plusieurs portes dérobées vraisemblablement non encore empruntées, mais qui n’épargneraient selon toute vraisemblance aucun des terminaux équipés de l’OS mobile de Google.
A l’occasion de la conférence Black Hat de Las Vegas (21-26 juillet), Sean Schulte, qui collabore avec Trustwave SSL (certificats SSL, solutions de conformités des règles…) et qui développe des applications mobiles et des jeux « à ses heures perdues », a résumé la situation à une course folle sans fin.
« A mesure que Google fait des progrès pour protéger son système d’exploitation, les pirates rivalisent d’ingéniosité pour contourner les barrières qui leur sont imposées« , a déploré l’intéressé.
La technologie de communication sans contact NFC (« Near-Field Contact »), par laquelle un appareil équipé d’une puce adéquate peut échanger des données sans fil à courte portée, serait tout particulièrement sujette à piratage.
Non seulement le contact d’un téléphone sain avec un homologue infecté peut-il s’avérer nuisible, mais le véritable danger résiderait en ces pastilles destinées à adresser des informations aux terminaux qui les scannent.
Il suffirait d’y implémenter du code malveillant et de les positionner à des endroits stratégiques où les mobinautes sont susceptibles de faire halte.
Dans un autre registre, Charlie Miller, ancien responsable de la NSA (la puissante Agence de sécurité nationale des Etats-Unis) devenu conseiller en audit de sécurité, souligne la perversité des mises à jour.
Google oeuvre pour corriger les vulnérabilités avec une spontanéité certaine. Mais les utilisateurs, voire des opérateurs télécoms, ne déploient pas les correctifs.
L’exemple typique est celui d’une faille dans le navigateur Chrome. Les équipes de développement de Goole l’ont signalée et résorbée sur-le-champ, sans pour autant assurer le déploiement uniformisé du patch.
Du pain bénit pour les cybercriminels, qui peuvent notamment se livrer à de la prise de contrôle à distance, pour injecter davantage de code malicieux dans les machines infectées.
La supercherie peut même provenir d’un téléchargement sur le Google Play Store.
Toute application « saine », qui a passé les test de sécurité du Google Bouncer (scan systématique des applications de la place de marché d’applications pour détecter les programmes malveillants), peut être enrichie d’une passerelle JavaScript.
Une technique qui permet d’ajouter de nouvelles fonctions dans une application sans repasser par le process de réactualisation d’Android.
Pratique pour faire passer des fichiers clandestins…
Crédit image : © Nabil BIYAHMADINE – Fotolia.com