ES File Explorer : comment une faille dans l’application permet d’accéder à toutes vos données

Certains l’apprécient et d’autres non. ES File Explorer reste néanmoins l’un des explorateurs de fichiers les plus populaires sur smartphone. Un chercheur en sécurité Français vient d’y déceler une faille critique qui permet à une personne tierce d’accéder à toutes vos données personnelles.

Es explorer

Android regorge d’explorateurs de fichiers pour gérer de manière ergonomique les données présentes sur votre smartphone. Es File Explorer est loin d’être un inconnu au bataillon pour être l’une des applications les plus anciennes dans ce domaine, et logiquement l’une des plus téléchargées à ce jour : plus 100 millions de téléchargements sur le Google Play Store. Si vous l’utilisez, vous avez été exposé longtemps à une faille critique.

Comment ES File Explorer permet à des personnes tierces d’accéder à vos fichiers personnels

Baptiste Robert , un expert Français en sécurité informatique qui se fait également appeler par son pseudonyme Elliot Alderson a publié plusieurs tweets cette semaine dans lesquels parle d’une faille identifiée dans le célèbre gestionnaire de fichiers. La vulnérabilité permet à n’importe quelle personne connectée au même réseau que sa cible d’accéder aux contenus de son smartphone : photos, vidéos, documents personnels, applications, etc. Une faille qui ne redore pas le blason de Es File Explorer qui est souvent critiqué pour la lourdeur de ses publicités, mais aussi des bloatwares intégrés.

À l’aide d’un simple script, le chercheur a montré comment il pouvait non seulement accéder aux fichiers, mais aussi les récupérer sur un autre appareil connecté au même réseau local. Il est également possible de lancer une application à distance sur le smartphone de la victime.

Le spécialiste explique que lorsque le gestionnaire Es File Explorer est lancé une fois, il se connecte à un serveur HTTP sur le port 59777. Cela laisse un trou béant qui permet à un utilisateur tiers disposant de suffisamment de connaissances techniques d’exploiter la faille pour accéder à aux données personnelles de sa cible.

Selon le site Techcrunch qui a été le premier contacté par le chercheur, le protocole HTTP est un moyen utilisé par l’explorateur pour diffuser de la vidéo depuis d’autres applications, mais aussi pour accéder aux fichiers du smartphone depuis un autre appareil (ordinateur, smartphone, tablette, etc.).

Mais comme vous l’avez sans doute compris, certaines conditions sont nécessaires pour rendre l’attaque possible. Es File Esplorer doit être installé sur le smartphone cible, et ce dernier doit être connecté sur le même réseau sans fil que l’assaillant. D’où, une fois encore, la vigilance toujours conseillée lorsque l’on se connecte sur un réseau WiFi public.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…

Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet

Une date d’anniversaire peut sembler être une information publique. Les dates d’anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en…

Reconnaissance faciale : la liste des smartphones vraiment sécurisés

La reconnaissance faciale se démocratise sur les smartphones. Pourtant, la technologie qu’il y a derrière n’est pas toujours suffisamment sécurisée. L’association de consommateur néerlandaise Consumentenbond dresse la liste des smartphones que l’on peut duper avec une simple photo, et ceux…

Comment mieux choisir ses mots de passe

La gestion des mots de passe est une vraie galère aujourd’hui. Nous avons des dizaines de comptes, difficile de se souvenir de tous les identifiants. Sans compter qu’il faut des mots de passe sécurisés et variés. Mais alors comment bien choisir ? On vous dit tout.

La France va payer des hackers afin de renforcer sa cyberdéfense

La France veut renforcer sa cyberdéfense. La ministre des Armées Florence Parly a annoncé l’arrivée d’un programme récompensant financièrement les hackers qui trouvent des failles de sécurité dans ses systèmes. Et pousse les industriels à suivre le pas.  Afin de…