CyanogenMod victime d’une importante faille de sécurité

Date de dernière mise à jour : le 14 avril 2016 à 14 h 34 min

En étant la ROM Custom basée sur Android la plus populaire, CyanogenMod pourrait potentiellement devenir une cible importante pour les hackers si une faille de sécurité était découverte. Malheureusement, il semblerait que ce soit justement le cas, comme nous le rapporte aujourd’hui The Register.

C’est en étudiant le cœur du système de CyanogenMod qu’un expert en sécurité qui a souhaité rester anonyme s’est alors aperçu que la ROM utilisait un copier-coller d’un ancien code Java 1.5, depuis corrigé par Oracle mais jamais mis à jour au sein de la ROM Custom. Code qui est justement utilisé pour la validation des certificats SSL. Une négligence susceptible de créer une vulnérabilité de type Man in the middle (MITM).

CyanogenMod

Une faille de sécurité découverte au sein de CyanogenMod.

Appelée parfois MITM ou MIM, une faille de type Man in the middle, connue en français sous le nom de « Attaque de l’homme du milieu » peut, conformément à sa définition, permettre au hacker de « lire ou de modifier à volonté les messages entre deux parties qui communiquent l’une avec l’autre », tout en continuant de faire croire au système que la sécurité n’a pas été contournée.

Dans le cas de CyanogenMod, la faille permet de créer un certificat SSL pour un nom de domaine et un élément de signature puis de faire accepter ce nom de domaine comme valide, quel qu’il soit. Une faille potentiellement dangereuse car si celle-ci devait être exploitée, elle pourrait compromettre la vie privée des 10 millions d’utilisateurs de la ROM Custom.

A noter que bien que le chercheur ait souhaité rester anonyme, il a néanmoins informé l’équipe de CyanogenMod de l’existence de cette vulnérabilité. On imagine que ces derniers feront le nécessaire aussi rapidement que possible pour corriger le problème.

Enfin, sachez que CyanogenMod 11 M11 est désormais disponible au téléchargement avec une longue liste de nouveautés à la clé.

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • Martin

    CyanogenMod réagit généralement très vite, cette correction apparaîtra sans doute dans les prochaines nightlies ! :)

    • Anonyme

      Tu lis l’article ou pas ? Le code date de Java 1.5 dont la date de fin de support est Avril 2008 (source : http://en.wikipedia.org/wiki/Java_version_history#J2SE_5.0_.28September_30.2C_2004.29). Presque 7 ans de retard. GG Cyanogen. Autrement dis la faille date de la toute première version de Cyanogen. Incroyable. Qui sait ce qui traîne encore comme faille dans cette ROM ?

  • Quand on regarde de plus pres on trouve toujours des imperfections

    • Guest

      En informatique , rien n’est infaillible. C’est pour cela que les hackeurs ont toujours une longueur d’avance , ce qui rend le travail des programmeurs très dur.

      • Marc Le-corguillé

        Ou qui rends nos appareils plus sur…..si les failles n’étaient pas dévoilé au grand jour, beaucoup d’entreprise ne prendrait pas la peine de corriger le tir….il aura fallu des hacks de grand groupe pour qu’ils bougent leurs derrière :
        Exemples : Sony avec le live de la PS3, Apple avec son icloud (même si certains vont prétendre qu’il y a pas de preuve, le fait est que l’icloud était facilement hackable par force brute donc…), des serveurs de grandes sociétés pillier aussi

        • Guillaume

          Cela dit la meilleure maniere de hacker un systeme est de demander a un utilisateur son mot de passe. Dans la plupart des cas, ils le donnent.

      • C’est sur, je dis juste qu’il ya des failles partout, faut juste se pencher dessus pour les voir

  • Rayane

    Decidément c’est la fête des failles de sécurité….

    • Guillaume

      C’est juste que de plus en plus de monde s’y intéresse.

  • Anton Larchey

    S’ils sont aussi réactifs qu’avec Heartbleed, on aura un correctif dans deux jours :)

  • Marc Le-corguillé

    Parce que tu crois qu’il existe des systèmes sans faille ??? Et bien non on est pas au pays des bisounours ou tout est beau et rose….

  • Guillaume

    Ce qu’il voulait dire c’est qu’une fois au courant d’un probleme, ils réparent en général tres vite. Personne n’est a l’abri d’un bug, le probleme c’est quand on ne le corrige pas alors qu’on en est conscient. Avec Cyanogen, ça ne risque pas d’arriver.

  • 2Joux

    Bonjour,

    Voilà ce que CM répond sur leur site : http://www.cyanogenmod.org/blog/in-response-to-the-register-mitm-article
    CM assure que si nous sommes sur la version 11 (KitKat), la faille ne s’applique pas. Surtout que cette faille a été découverte en 2012.

    Bien à vous ;)

  • Faudrait vraiment enquêter (base du journalisme !) ….mais surtout faire un éventuel « démentit » !!! au lieux de laisser une telle diffamation , un « Hoax » ….. si c’est bien le cas !

    ==> http://www.cyanogenmod.org/blog/in-response-to-the-register-mitm-article ( lien déjà affiché par 2Joux plus bas ,il y a 11 heures de mon message ci-present !!! )

    La réputation de la Team cyanogenmod est en jeux !!!
    ce serait complètement idiot de laisser un vent de panique sur certains des utilisateurs de cette rom populaire et adulé ,pour que-dalle …

  • konilka

    Tiens j’avais zappé ce post,effectivement il y a un manque de professionnaliste ici,le copier coller ça devient lourd