Votre smartphone est peut-être en danger, des failles critiques repérées sur les puces Samsung Exynos
Google attire l'attention sur une série de dangereuses failles de sécurité dans les puces Exynos de Samsung, dont certaines pourraient être exploitées à distance pour compromettre complètement un téléphone sans nécessiter d'interaction de la part de l'utilisateur.
Project Zero, l'équipe de Google chargée de la chasse aux failles “zero-day”, a découvert et signalé 18 vulnérabilités dans les puces Exynos de Samsung. Plus précisément, le fautif serait ici le modem des puces. Il est utilisé dans les appareils mobiles de la société, les “wearables” et les voitures. Parmi les appareils concernés figurent également les Pixel 6 et 7, qui utilisent une puce Tensor basée sur les processeurs Exynos, mais aussi certains smartphones de milieu de gamme de chez Vivo.
Tim Willis, responsable du projet zéro de Google, a déclaré dans un billet de blog que quatre de ces vulnérabilités, dont la CVE-2023-24033, impliquent l'exécution de code à distance de l'internet vers la bande de base, c’est-à-dire qu’elles permettent à un pirate d’avoir facilement accès à votre smartphone à distance, et cela sans que vous puissiez vous en rendre compte.
Lire également – Le Galaxy S22 est piraté en seulement 55 secondes par des hackers
Votre numéro de téléphone suffit pour pirater votre smartphone
Les tests menés par Project Zero ont donc confirmé que quelques vulnérabilités permettent à un attaquant de compromettre à distance un téléphone sans aucune interaction avec l'utilisateur, et qu'il lui suffit de connaître le numéro de téléphone de la victime pour prendre le contrôle de l’appareil.
Voici la liste des appareils vulnérables :
- Appareils mobiles de Samsung, y compris les séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04
- Appareils mobiles de Vivo, y compris les séries S16, S15, S6, X70, X60 et X30
- Séries Pixel 6 et Pixel 7 de Google
- Objets connectés utilisant la puce Exynos W920, dont les Samsung Galaxy Watch 4 et 5
- Véhicules utilisant la puce Exynos Auto T5123
“Comme toujours, nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que possible, afin de s'assurer qu'ils utilisent les dernières versions qui corrigent les vulnérabilités de sécurité divulguées et non divulguées“, a ajouté Willis. Pour votre sécurité, il est toujours très recommandé de mettre à jour votre appareil dès qu'une nouvelle version est disponible.
Les 14 failles restantes (y compris CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076, et neuf autres en attente de CVE-ID) ne sont pas aussi critiques, mais présentent tout de même un risque.
C’est loin d’être la première fois que les smartphones de Samsung sont victimes de failles zéro-day. Déjà en fin d’année dernière, Project Zero avait découvert plusieurs failles de sécurité inédites dans les Galaxy de milieu de gamme. Ces vulnérabilités avaient été activement exploitées, et seuls les puces Exynos étaient concernées. Au printemps dernier, des millions de smartphones Samsung avaient aussi été victimes d’une faille de sécurité majeure qui permettait aussi de prendre le contrôle total des appareils à distance par le biais d’une application malveillante.
Le patch de sécurité de mars 2023 corrige l'une des failles
Google a vraisemblablement déjà corrigé la faille CVE-2023-24033 dans le correctif de sécurité de mars 2023, mais tous les appareils concernés n’ont pas encore reçu la mise à jour. En attendant un correctif, Project Zero conseille par précaution de désactiver les appels Wi-Fi et VoLTE pour éliminer les risques de piratage.
« Jusqu'à ce que des mises à jour de sécurité soient disponibles, les utilisateurs qui souhaitent se protéger contre les vulnérabilités d'exécution de code à distance de la bande de base dans les puces Exynos de Samsung peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil », a déclaré Tim Willis.
Traditionnellement, les chercheurs en sécurité attendent qu'un correctif soit disponible avant d'annoncer qu'ils ont trouvé le bogue, ou jusqu'à ce qu'un certain temps se soit écoulé depuis qu'ils l'ont signalé sans qu'aucun correctif ne soit en vue. Désormais, des pirates pourraient donc bien profiter de l'opportunité pour hacker des smartphones avant qu'un correctif ne soit déployé sur certains des appareils.
