Le navigateur par défaut d’Android est un « désastre pour la sécurité »

Date de dernière mise à jour : le 18 avril 2016 à 15 h 15 min

Rapid7, une société de Boston spécialisée dans la sécurité des systèmes informatiques a récemment recensé et mis en lumière un bug présent dans toutes les versions d’Android antérieures à KitKat et qui concerne donc 75% des utilisateurs. Logé au sein du navigateur par défaut d’Android, ce bug serait ce que la société qualifie de « véritable désastre » en termes de sécurité.

sécurité Android
Android, un désastre pour la sécurité ?

Des propos qui peuvent sembler violents mais sont à la hauteur du risque encouru car si cette faille est utilisée correctement, elle peut alors donner accès à la totalité des données des utilisateurs notamment celles liées à la navigation mais également les favoris, les sites web récemment visités et même les cookies et mots de passe enregistrés.

Comme l’a récemment démontré Rapid7, le fait d’outrepasser cette faille pourrait favoriser le vol de toutes ces données dites sensibles. Et bien que celle-ci n’ait pour l’instant jamais encore été exploitée, le fait que 75% des utilisateurs Android utilisent des versions antérieures à KitKat reste inquiétant puisque parmi ces terminaux, certains ne seront jamais mis à jour.

La plupart des smartphones et tablettes étant capables d’ouvrir plusieurs onglets simultanément, il suffirait qu’une page web malveillante soit ouverte pour saisir les données auxquelles les autres pages ouvertes ont accès. Données qui pourraient être des cookies ou des mots de passe mais pas seulement car la faille permettrait également de pirater une session mail.

Une faille qui, aussi inquiétante qu’elle puisse être, reste à relativiser car quelque soit son ampleur, ce n’est pas pour autant qu’elle sera exploitée.

Comme l’a déclaré la porte-parole de Rapid7, Google aurait récemment été informé du problème mais n’a pas encore été répondu à la société. Connaissant la réactivité de Mountain View, ça ne saurait tarder et dans la mesure du possible, un patch correctif sera sans doute proposé.

Via

Réagissez à cet article !
  • Aldwyr Ephraem de Az

    Alors, la suite de ce commentaire et un gros troll :
    Tiens… Avec Apple, on a acczs au photo nue des célébrité? Avec Android, c’est a toute votre vie. ( dont les photos nue.:))
    Donc on vide votre compte bancaire quand vous faire une commande via le web de votre Smartphone. On récupère toute vos identifiants de compte pour faire des achat via ces compte. Et on poste des photo de nue de vous et votre conjointe sur Facebook. Pour changer le mdp.

    Ruiné, sans plus d’identifiant virtuel et humilier. Parfait ^^

    • doggy310

      La plupart des gens utilisent des applis pour Facebook, banque et mail, donc ça limite un poil… Puis bon elle a pas été exploitée apparemment, et les constructeurs comme Samsung & Co mettent leur propre navigateur avec leur surcouche.
      Bon ça n’empêche pas que les constructeurs devrait être plus sérieux sur les màj, parce que bon une faille comme ça ça peut arriver mais si Google prend la peine de les corriger pour que ce ne soit pas suivi par les constructeurs…

    • Atlas

      Imagine les commentaires qu’il y aurait eu sur un article comme ca pour iOS.

  • Gaëtan

    Et dire que certains critique d’autres marques OS et le mais il y a d’autres navigateurs
    Moi je pense à l’utilisateur lambda

  • hyperlog

    Il est vrai qu’une adresse mail que j’avais rentrée dans mon N4 s’est faite piratée quelque mois plus tard donc je ne pense pas que ce soit un hasard surtout que ça ne s’était jamais produit avant.
    Et s’est bien dommage , car pour moi un téléphone ça sert aussi à consulter ses mails.
    Je pense qu’android à bien des progrès à faire sur ça , là où pour moi Apple fait les siennes.

    • Marc Le-corguillé

      Tu m’as fais bien rire, ce genre de faille est utiliser à très grande échelle et toi comme par hasard tu as eu celle ci…….avec des on on fait des si….

    • Samsara

      Tu passe par le navigateur pour consulter tes emails?

      • pheuzy

        je me pose la même question

    • doggy310

      S’il n’y a pas d’exploits c’est pas ça cherche ailleurs…

    • joe2x

      installe un navigateur autre que celui par défaut

  • radiolibreofficiel

    lol c’est pas nouveau de puis 15 jours j’ai pirater mon huawei dan tout les sence lol il y a près que plus de produit google il y a plus le moteur internet originale dans mon smartphone il y a près que tout qui est plus originale alors l’info donnée ici n’et que basique lol

    • zoro

      ??? sais-tu construire une phrase ?

    • l’ortho

      Incompréhensible !!!

      Bravo le niveau. Je t’invite à te relire et si comme moi, tu ne comprends rien, prend des cours !

    • Atlas

      Franchement, on ne comprend rien à ton commentaire.

    • Entropie

      Merci pour ce charmant intermède Kevin :)

    • Guillaume

      Oulah c’est du lourd

    • ogcnoce

      Lawl tro vrè ce qy conpraineh pah sons conns

    • Je ne veux pas vous faire peur, mais je crois qu’on vous a piraté votre orthographe!

  • doggy310

    Les gens font les paranos alors qu’apparemment il n’y a pas un d’exploits, donc si vous vous êtes fait pirater c’est pas cette faille… Des failles il y en a partout et on en découvre tout le temps, plus ou moins importante (celle-ci l’est quand même pas mal), de la à les exploiter c’est beaucoup plus dur…

    • Atlas

      N’oublions pas la faille Heartbleed, complètement réparée sous iOS, elle est toujours présente sous 10% des telephones Android sans aucune correction prévue.
      Android est plein de failles.

      • doggy310

        « Android est plein de failles. »
        Tu crois vraiment que les systèmes infaillibles existe ? Me parle pas d’Apple, iOS je sais pas trop mais OSX c’est une passoire, j’ai pas les chiffres récents mais à l’époque il y avait beaucoup plus de failles recensées que Vista et XP réunis. Bon après les 2% de gens qui sont sur Mac les hackers s’en battent les c… donc elles sont pas trop exploitées car peu rentables comparée à celles sous Windows…
        Puis quels sont ces 10% ? Des vieux machins inutilisables en navigation Internet, c’est grave dans ce cas ?

        • Atlas

          Dire que tout système a sa faille c’est détourner la question.
          Android a plein de failles connues et non patchées. iOS en a beaucoup moins ou pas du tout.
          3 malwares sur iOS depuis 7 ans.
          Plusieurs centaines sur Android.

          • doggy310

            Avec Android on peut installer des apps hors Google Play ce qui laisse libre cours aux Malwares si l’utilisateur fait n’importe quoi, avec Apple on peut pas ça limite. Android propose plus de liberté, ça a ses avantages et ses inconvénients.
            Après je peux te rétorquer que le 3310 avait pas de malwares contrairement à iOS, forcément c’est encore plus limité niveau fonctionnalités.
            Le malware est un faut argument sur Android vu qu’ils peuvent venir de n’importe où, faudrait comparer à utilisation égale, c’est à dire que avec le Google Play.

          • Atlas

            Ah mais là je parlais de malwares venant de Google play justement. Il suffit de chercher pour trouver. Je crois qu’il y en a eu à peu près 170 alors que le store existe depuis moins longtemps que l’app store et que ce dernier avait plus d’apps pendant très longtemps.

          • doggy310

            Après c’est des apps chelou qui demandent toutes les autorisations pour des fonds d’écrans ou choses comme ça…
            Effectivement une meilleur gestion des autorisations des applis ne ferait pas de mal à Google, loin de là… J’en ai marre que quasiment toutes les apps demandent quasi toutes les autorisations alors qu’elles n’en ont pas besoin, du coup j’installe pas…

          • Atlas

            Ah ben ca c’est devenu la norme sur Android et perso je trouve ça scandaleux. Sur iOS je n’ai jamais vu une app demander une autorisation de plus que nécessaire.

          • doggy310

            Là dessus je suis d’accord, surtout que les applis qui font ça pour récupérer les données perso du user et les revendre marche sur le créneau de Google, devraient s’inquiéter à Montain View ^^
            Si Android continu comme ça je vais voir comment ça va se passer avec Ubuntu Touch, parce que pour l’instant c’est la seule alternative qui pourrait m’intéresser même si j’y ai pas trop regarder…

          • Atlas

            Firefox a sorti son premier téléphone il y a quelques jours… mais il coûte 35 et vise les pays en voie de développement.

          • crachoveride

            Après tu as Appops qui justement permet de restreindre les droits d’accès pour toutes les applis installé (trouvable sur le playstore et fonctionne de base sur Android mais caché) .

          • Aldwyr Ephraem de Az

            Même sur le Google play, il peut y avoir des virus…
            Et désolé, mais ce n’est pas que les Applications.
            Via le navigateur, tu télécharge un fichier sur un site de confiance, pas de change, il avait un virus…
            TU ouvres tes mails sur ton tel? S’il y a une faille dans Gmail ou un autre client d’Email, le pirate le sait et il en profite… Bah voila.. Le client ne dois peutêtre pas ouvrir ses mails peut être?

            C’est un non sens. L’utilisateur à sa part dedans bien sûr. Mais le manque de sécurité est, et restera un problème d’Android.. C’est le fait que je sois passé sous windows phone…

            Il n’y as pas de limite de fonctionalité aussi importante sous iOS que Android… Juste que les utilisateurs n’ont pas accès au fonction vitale, ce que devrai faire Android.
            C’est devenu trop facile aujourd’hui de Rooter sont tel Android.

            Il ne faut pas sacrifier la sécurité pour un peu de liberté (l’inverse et tout aussi vrai.) Mais sur Android, on laisse des personnes qui n’y connaisse absolument rien en informatique, facilement rooter leur tel pour X ou Y raison. Sans rien.
            Donc désolé. Sur iOS, tout es contrôlé. Sur Android, c’est Open bar.

          • doggy310

            Juste un truc, virus =/= malware. Et des virus par des fichiers sous Android jamais vu…
            Et je vois pas bien le rapport entre une faille gmail et un malware.
            Après je dis pas qu’il y a que du bien à la liberté d’Android, ça pose problème à l’utilisateur lamba qui n’y connait rien et qui peut faire des conneries sans s’en rendre compte déjà comme je l’ai dit plus bas Google devrait rendre la gestion des droits beaucoup plus claire et facile, qu’on puisse refuser des droits tout en installant de base, plutôt que de devoir ne pas installer.
            Par contre rooter son tel sans rien y connaitre c’est un peu fort, j’ai jamais vu ça, par contre pour le jailbreak déjà vu…

          • Plumplum

            Il y a quand même une chose : avec juste un login et un mot de passe, tu
            n’as pas accès à un compte Google…il manque le code de sécurité que
            tu reçois par sms dès lors qu’une machine inconnue essaye de s’y
            connecter…

            Donc à part si ta carte sim a elle aussi été piratée, ton compte gmail est (relativement) protégé…

            Ensuite
            le root n’ouvre pas toutes les vannes d’un coup…et on ne root pas
            sans le faire exprès (quoique certains appareils sont(/ont été) vendus
            déjà rootés)
            Une fois ton téléphone rooté, une application comme
            superuser va définir les applications qui ont ces privilèges…quand tu
            vas lancer ton explorateur de fichiers, il va te demander si tu veux des
            privilèges dessus. Pour un explorateur de fichier, c’est assez normal,
            tu valides…un jeu te le demande, ça sent mauvais…tu refuses et
            l’application n’auras pas accès aux fichiers systèmes.

            A coté de
            ça, certaines applications ont des permissions abusives (mais ça ne leur
            donne pas pour autant accès aux fichiers systèmes)…j’ai de la chance
            que ma Rom permette de les sabrer!

            La sécurisation reste une belle illusion…celui qui a le niveau et qui veut te pirater…il te pirate
            Rapid7
            trouve des failles partout Windows/Linux/Android/iOS/OSx tout le monde y
            passe….et j’attends toujours de voir quelqu’un dans mon entourage
            avoir un problème sur Android.

            Perso, je suis un poivrot, donc
            Open Bar c’est parfait :)…faut juste garder la présence d’esprit de
            pas prendre ta caisse ensuite!….les OS c’est une question de goût, et
            aussi un peu d’habitude.
            Ceci dit, je suis d’accord que ce sont des outils à utiliser avec prudence…et que tout le monde n’est pas forcément prudent…c’est aussi pour ça qu’il y a des forums : pour sortir les gens de la m…

          • crachoveride

            Moui sur ios tout est contrôlé et on devine pourquoi… perso j’ai pas plus confiance : http://mobile.clubic.com/os-mobile/iphone-os/actualite-716831-ios-backdoor-big-brother-zdziarski.html

    • Aldwyr Ephraem de Az

      Tu sais… Je ne pense pas que les pirates qui connaissent la faille vont dire qu’ils l’ont exploité… et en gardant les preuves sur leur PC avec le code du virus…
      C’est comme si, après avoir commis une infraction, tu allais dire à la police le délit que tu a commis, en leur donnant ton DD et tes logs …

      • doggy310

        Nan mais tu sais que ça se vend un exploit ? Et que les société spécialisée dans la sécurité qui relèvent les failles savent où chercher ? Et comment savoir si ces exploits sont utilisées ?
        Généralement les pirates gardent pas le exploits dans un coin, soit ils les revendent soit ils les utilisent…

  • Aldwyr Ephraem de Az

    Ca aurai était ma première version… Sauf que tu met le début et la suite, tu remplace Android par Apple. Et tu retirer la balise : c’est un troll. :)

  • Lightner

    LOL, un correctif par Google…

    Le problème c’est pas Google mais les constructeur car une grande partie des téléphones impliqués ne sont plus suivis pour ce qui est des mises à jour.
    Donc ça va rester en l’état…

  • sudden

    Si t’es pas content des réactions de fanandroid et bien personne ne t’oblige à rester et venir troller sur ce site. Et trouve toi un site dédié à votre iphone et tu aura la paix comme ça. Tu sera entouré de apple fan comme toi et tout se passera à merveille.
    En attendant vu que tu persiste à vouloir rester ici en racontant beaucoup de connerie et bien te plain pas et encaisse le retour du bâton.
    On récolte que ce que l’on sème…

    • Atlas

      J’attends que tu te scandalise de cette nouvelle.

      • Lequidam

        Il n’y a aucune raison de le faire (voir mon commentaire ci-dessus).

  • Lequidam

    Sauf que…

    Le navigateur « par défaut » dont il est question ici est celui d’AOSP.

    Or, le navigateur par défaut sur la version commerciale d’Android, c’est Chrome depuis 2012.
    Celui d’AOSP n’est utilisé que par une toute petite minorité du parc (sous ROM custom essentiellement).

    • Atlas

       » depuis 2012. »

      il reste donc bien une très grande partie des utilisateurs Android qui ne sont pas protégés

      • Lequidam

        Depuis 2012, ce qui correspond au passage à Jelly Bean (4.1).

        75% des smartphones tournent au minimum sous Android 4.1.

        Pour les 25% restants, 95% (au moins) ont une surcouche constructeur, et donc un navigateur tiers par défaut.

        Autrement dit, le nombre d’appareils exposés est négligeable.

        • Atlas

          Toujours à chercher des excuses. Même avec ta pathétique tentative de minimiser cela à 5% des utilisateurs, c’est énorme puisque ça fait presque 50 millions de téléphones.
          On est loin des 47 photos piquées sur iCloud.
          Tu peux retourner ça comme tu veux, ça montre bien que Android n’est pas sûr.

          • Lequidam

            Tu penses qu’ iOS est un coffre-fort?

            Je ne suis pas en train de dire qu’Android est imprenable (aucun OS ne l’est). Juste qu’il a ses bugs et ses failles comme tous les autres.

            L’article exagère grandement le problème, et je ne fais que le nuancer.

          • Atlas

            « Au fait : 5% de 25%, fait 1,25% du total de départ. »
            mdr, ce que tu ne vas pas chercher, NIMPORTE QUOI

            pathétique.

            Android est une cata niveau sécurité, iOS est énormément plus sûr.

          • Lequidam

            Ah, parce que tu ne sais pas compter, en plus…

            Je comprends mieux le niveau général de tes commentaires.

          • Atlas

            Ce que je veux dire c’est que tu cherche des excuses à tout prix, c’est pathétique. Des millions de personnes avec un téléphone vulnerable, et t’es là en train de me parler de iOS…mais va te coucher quoi.

          • Lequidam

            Relis-toi. C’est bien toi qui a mis iOS sur le tapis.

            Et puisque tu en reparles, je t’épargne un petit effort :

            http://lmgtfy.com/?q=ios+faille+s%C3%A9curit%C3%A9+safari

          • crachoveride

            Houla tu travaillerai dans la sécurité tu te rendrais compte que non, certes, android à encore des failles mais ios est loin d’être plus sûr hélas… On découvre de ses trucs c’est hallucinant je t’assure mais ça vaut le détour :-/ ya de quoi devenir parano sans exagerer tellement c’est flagrant. Et c’est la que l’on se rend compte que ça ne peut être qu’une question de business tellement les failles dans ces 2 os sont flagrantes :-( oui c’est triste je suis bien d’accord.

          • Atlas

            Non, iOS n’est pas « loin d’être plus sûr » et il suffit de voir le nombre de malwares dessus pour s’en convaincre.

          • crachoveride

            justement, c’est uniquement due au nombre de personnes sur ios plutôt qu’android qui fait la différence et qu’apparemment tu as du mal à comprendre, n’en déplaise aux fans d’Apple, il y a tout autant de failles sinon plus sur ios que sous android, ça je peut te l’assurer, mais elles ne sont surement pas toutes encore utiliser, la preuve en est que si c’étais le cas le jailbreak n’existerai tout simplement plus (et ce n’est qu’un petit exemple parmis tant d’autres).

          • Atlas

            « je peut te l’assurer »
            Je m’en fous de ce que tu m’assures. Le fait est que Android a beaucoup plus de failles connues non corrigées et énormément plus de malware.
            Et bien sûr on parle de failles exploitables par internet, ne me parle pas du jailbreak!

          • crachoveride

            preuve à l’appuis pour 2012 http://www.01net.com/editorial/593775/en-2012-ios-a-ete-beaucoup-plus-vulnerable-qu-android/

            et preuve à l’appuis pour 2014 : http://www.clubic.com/os-mobile/iphone-os/actualite-700978-failles-ios-7-contacts-pieces-jointes.html ou encore http://iphoneaddict.fr/post/news-131679-faille-dios-pourrait-generer-appels-surtaxes-non-desires-distance

            la faille du file relay (com.apple.mobile.file_relay), le wifi qui n’étais jusqu’alors que très mal protége et j’en passe, j’imagine que ça a été corrigé en grande partie avec ios8 et je en montre que celles corrigées et trouvables facilement c’est vrai, mais il en reste encore beaucoup même sur ios8 et ce n’est pas que moi qui le dit, preuve en est que le jailbreak est encore possible avec les mêmes failles non corrigé que sur ios7 d’après http://www.cnetfrance.fr/news/le-jailbreak-d-ios-8-pourrait-fonctionner-si-apple-ne-detecte-pas-ses-failles-39802003.htm

            après effectivement le soucis d’android contrairement à ios c’est qu’il est trop éparpillé au niveau des versions ce qui le rend évidement plus vulnérable (sur les anciens device ou certains device bas de gamme), mais l’étau se resserre heureusement, doucement mais surement :)
            Je rajouterai également que les malware sont en grande partie sur les store autres que le google play, le gars qui fera attention et n’installera que des applis officiel n’aura pas de problème, t’en connais beaucoup qui ont choppé des malware? moi personne en tout cas, donc si android étais si dangereux que ça les gens ne prendrais pas le risque (surtout que les téléphones android commencent à rentrer sur le marché de l’entreprise et pour ce faire il faut qu’ils répondent absolument à pas mal de normes de sécurité).

          • Tux

            Dans ce cas la même si 47 photos c’est minime, ça veut dire que iOS n’est pas sur non plus… Quel résonnement à la con.

          • Atlas

            Comparer 47 photos à 5 millions de comptes Gmail et 10% des téléphones Android non protégés, ça c’est un raisonnement à la con pour quiconque ait un minimum de bonne foi.

  • Chaotec

    Comme par hasars , Chrome (navigateur par défaut de kitkat) n’est pas touché!

  • Atlas

    Une autre faille toujours présente dans plein de téléphone Android.

    • Lequidam

      Vas-y, exprime-toi, je sens que tu essayes de communiquer…

      • Atlas

        la faille dont tu parles… elle a été corrigée sous iOS, toujours présente sur un grand nombre de téléphones android

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
6a5b9e237b0f6ee20f5505c0e67b65afKKKKKKKKKKKK