Une faille de sécurité compromet 82% des smartphones Android

Date de dernière mise à jour : le 18 avril 2016 à 15 h 46 min

Une équipe de chercheurs a découvert une faille de sécurité dans l’OS mobile de Google qui affecte les smartphones tournant sur 4.4 KitKat et supérieur, laissant potentiellement 82% des utilisateurs d’Android vulnérables.

faille sécurité android

La faille, découverte par Bluebox Labs et surnommée Fake ID, se base sur la manière dont la sécurité des applications est vérifiée sur Android. Chaque app a sa propre signature cryptographique – qui décide qui peut mettre à jour et quel privilège il a – et tout le système tourne sur une chaine de certificats d’identité. Le Guardian explique:

Il y a les “certificats parents” et les “certificats enfants”, qui sont vérifiés l’un face à l’autre pendant l’installation pour s’assurer qu’ils concordent et que l’app est fiable. Le certificat parent, généralement transmis par le créateur de l’app, doit prouver que l’enfant est digne de confiance.

Alors que cela devrait en théorie fournir un bon niveau de sécurité, Bluebox Labs affirme que non, puisqu’Android ne fait pas assez de vérifications sur ces certificats. Cela signifie qu’un entité peut se présenter comme étant issue d’un autre entité, alors que ça n’est pas le cas.

La conséquence est que n’importe quelle app peut contenir un certificat qui se présente comme étant transmis par une source de confiance pour abuser des privilèges des parents. Ainsi le certificat Android relatif au NFC pourrait par exemple être trompé pour accéder au Google Wallet et là, la faille prend un enjeu financier direct.

Bluebox Labs déclare que la faille Fake ID est présente dans Android depuis la version 2,1 jusqu’à la 4,4, ce qui concerne donc 82,1% des utilisateurs. Un patch a depuis été produit par Google auprès des partenaires Android et sur l’Android Open Source Project, mais cela pourrait prendre du temps avant que cela se fasse un chemin jusqu’à votre téléphone. Au delà de ça, n’oubliez pas les bons gestes pour vous protéger des virus.

Via

Réagissez à cet article !
  • […]qui affecte les smartphones tournant sur 4.4 KitKat et supérieur,[…]
    […]Fake ID est présente dans Android depuis la version 2,1 jusqu’à la 4,4[…]
    Est-ce moi qui ai mal compris ou il y a une petite coquille :o ?

    Soyons vigilants et tout ira bien je suppose !

    • Youenn Svgn

      “depuis la version 2,1 jusqu’à la 4,4, ce qui concerne donc 82,1% des utilisateurs”

      Ce qui veut dire que 17,9 % des smartphones tournent sur une version antérieure à Eclair ? Presque 2 téléphones sur 10 ? Ça me semble beaucoup

      • dantes94

        82.1% d’utilisateur sous 4.4 me paraissent encore moins fiable, et 10% inférieur a éclair sa me partais gros aussi, d’ailleurs sa ne concordent pas avec les chiffre de google.

        Bref les chiffres c’est toujours dur de le remettre dans leur contexte car les infos transmis sont celle qui arrange les un ou les autres …

        • Youenn Svgn

          À mon avis (c’est une supposition, je ne détiens pas la vérité) 82,1 % pourrait être le pourcentage de smartphone sous une version antérieure à kitkat

          • Stef80

            Oui. L’article a été mal traduit (ou mal retranscrit). Le bug a été corrigé en avril avec la mise à jour 4.4. Les version entre 4.4 et 4.4.4 sont protégées, et ces versions représentent 17,9% du parc. Et 82,1% des appareils ne sont pas sous KitKat, donc potentiellement vulnérables.

          • Youenn Svgn

            Ah voilà, ces chiffres semblent déjà plus cohérents tout s’explique

            Mais si un fix a été fourni en avril, pourquoi cet article en… Juillet ?

          • dantes94

            En effet c’est déjà beaucoup plus logique.

          • Atlas

            C’est bien ça, et il suffit d’aller sur le dashboard Google officiel pour le voir. Après un an, Kit Kat est sur moins de 20% des appareils. iOS7 après un an? Plus de 90%.

          • Youenn Svgn

            Oui, mais n’est pas question d’IOS ici :-P

    • Atlas

      Vous êtes tellement gentils quand il s’agit d’Android.

  • Toutes les semaines il y a des news “nvlle faille de sécurité sur 90 téléphones android” mais je ne connais personne qui a deja eu un virus/voler des données sur son portable. Bizarre.

  • slayers84

    Pourquoi je ne suis pas étonne ?

  • senKey

    “…although it was fixed in April as part of the latest update…”

  • Marc Le-corguillé

    C’est peut être pour ça que je n’ajoute pas ma carte bleue à Google ^^

  • Abus

    Aucun système n’est infaillible, qui plus est quand il est connecté à la toile ou à d’autres appareils !
    Plus on cherchera, plus on trouvera de failles et c’est logique.
    Cela n’est pas nouveau, on connait déjà ça avec l’informatique où il en existe toujours…
    Chacun doit être conscient qu’il est exposé mais il ne faut pas non plus devenir parano. Il faut tout simplement être vigilant.

  • somme_one

    Un jour peut-être on aura de vrais rédacteurs qui lisent, relisent et vérifient ce qu’ils “écrivent” après avoir utilisé Google Translate ou autres.

    • Raphael Scellier

      Donne moi ma majorité et je postule comme rédacteur x)

  • filaos

    Article flou.
    100% des appareils sont vulnérables à la faille de défaut de signature des applis, Kit Kat et L compris.
    82% sont vulnérable au mode d’exploitation le plus sévère de la faille : via le moteur Flash embarqué dans Android jusqu’à Jelly Bean 4.3 (4.4 est la première version débarrassée de Flash au niveau OS).

  • radiolibreofficiel

    iPhone 500 virus tout les 30 seconde . des anonymous qui lit vos donné tout les 5 seconde windows tout les seconde 1 virus android je utilise de puis plus de 2 ans ‘ai trouver pour le moment 2 virus dans des app de jeux la sécurité de android est la meilleur pour le moment

    • Goopple

      Belle démonstration !
      Les liens vers ces affirmations ?

      • radiolibreofficiel

        très simple j’ai utiliser tout c’est smartphone donc j’ai vue beaucoup de chose e les utilisateur ne voie pas

        • Raoul

          Il en tient une bonne, lui…

        • Goopple

          J’adore !
          Bravo je sais plus quoi dire, c’est quoi ton deuxième prénom, Mytho ?
          Le coup des “500 virus par secondes sur iPhone” est mon préféré, mais pas très loin je met “en 2 ans seulement 1 virus sur Android”, j’adore ce mec !

          • radiolibreofficiel

            entre nous le mytho c’est toi

  • radiolibreofficiel

    les virus rentre par les app jeux plein de pub et autre app de se genre

  • Stef80

    Serait-on sur phonapple.com ? C’est bizarre, de plus en plus de news peupeul, des alertes de sécurité à gogo sur Android, mais aucune news négative sur apple… Comme les failles découvertes la semaine dernière par exemple !
    Bon après je comprends. Les 3 blaireaux qui viennent cracher leur venin sur Android, et encenser leur dieu peupeul 1er rapportent du clic…

    • Atlas

      Pourquoi est-ce que phonandroid ne devrait pas parler des failles de sécurité Android? Cette faille est énorme, il n’y a jamais eu un truc aussi gros chez Apple, et là en plus Google est en train de dire qu’ils ne vont rien faire pour les telephones pré Kit Kat affectés. Android n’est pas sûr, et cet article en est la preuve.

  • Anton Larchey

    Dans l’article original ils disent que ça a été fixé dans la mise à jour d’Avril …

  • Atlas

    Il faudra qu’on pense à leur rappeler à chaque fois celle là. C’est juste énorme.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sony Xperia XZ1 : un benchmark révèle une partie de sa fiche technique

Le Sony Xperia XZ1 fait aujourd’hui mention d’une partie de sa supposée fiche technique. L’appareil, repéré sur le site de benchmark Geekbench, devrait à priori se tourner vers le haut de gamme en raison de la présence d’un écran de 5,2 pouces Full HD, d’un Snapdragon 835 et d’un prix de vente avoisinant les 750€. Celui-ci devrait révélé lors de l’IFA 2017 début septembre.

34fa36874e5eafc67aeec3d3b2aa0396CCCCCCCCCCCCCCCCCCCCCCCCCCCC