La dernière vulnérabilité d’envergure d’Android, Stagefright, semble enfin décider les deux plus grands acteurs de la constellation Android, Google et Samsung, à prendre des mesures plus appropriées pour la sécurité des utilisateurs de smartphones utilisant ce système d’exploitation.
Découvert par Zimperium Mobile Security, Stagefright permet d’exécuter toute application à distance sur un smartphone Android, en envoyant un MMS à la cible. En d’autres termes, il suffit de connaître le numéro de portable de la cible, et l’attaque se produit sans action de la cible, souvent sans qu’elle en soit consciente. Pas besoin de mot de passe, ou de cliquer sur un bouton ou un lien malveillant.
95 % des smartphones Android seraient en danger, soit environ 950 millions d’appareils. Tous les dérivatifs d’Android depuis la version 2.2 comportent le code fautif de la librairie de code média.
Zimperium vient d’ailleurs de mettre à disposition une application qui permet de déterminer si un smartphone est vulnérable: Stagefright Detector.
Reconnaissant la sévérité du risque, Google, informé par Zimperium, qui lui a même fourni des correctifs, développait son propre correctif dans les 48 heures.
Mais comme d’habitude, la plupart des mises à jour d’Android ne sont proposées par les opérateurs téléphoniques et les fabricants, que des mois après leur mise à disposition par Google. Ces intermédiaires ont en effet leurs propres procédures de tests et de qualification des mises à jour, et s’intéressent plus au développement de nouveaux produits qu’à la maintenance de produits existants.
Ce qui met gravement en danger leurs clients. Car une telle vulnérabilité, si tant est qu’elle n’a pas déjà été utilisée avant d’être découverte par une entreprise de sécurité, est exploitée dès que la communauté des pirates en apprend l’existence.
Hier, Samsung Electronics annonçait un nouveau processus de mises à jour de sécurité pour Android.
Désormais, Samsung publiera des correctifs de sécurité tous les mois, et travaille avec les opérateurs mobiles afin de minimiser le temps de mise à disposition pour l’utilisateur final.
Hier aussi, Google annonçait un programme similaire pour tous les appareils mobiles de la gamme Nexus : ils recevront des correctifs de sécurité mensuellement.
Il ne reste plus qu’à espérer que ces deux exemples inspireront les autres fabricants de smartphones Android, et surtout, que les opérateurs mobiles joueront le jeu.