Quand vous achetez un nouveau smartphone et que vous l’allumez pour la première fois, vous tombez toujours sur des applications pré-installées dont vous n’aviez jamais voulu. En général, vous procédez rapidement à la désinstallation, histoire de vous retrouver uniquement avec vos applis préférées. Vous avez bien raison de le faire. D’après l’entreprise spécialisée en cybersécurité Kryptowire, ces applis auraient pour la plupart de nombreuses failles de sécurité.
Des vulnérabilités en nombre
Comme l’expliquent nos confrères de TechCrunch, les équipes de Kryptowire ont construit un outil capable de scanner plusieurs smartphones Android et de détecter des brèches de sécurité, sans avoir besoin d’un accès physique aux appareils. L’entreprise a donc réalisé cette étude pour le compte du Département américain de la Sécurité Intérieure, le fameux Homeland. Au total, Kryptowire a effectué des tests sur des smartphones de 29 constructeurs. Ce sont pour la plupart des marques inconnues en France, mais quelques grands noms apparaissent tout de même dans la liste, comme Sony, Asus ou Samsung.
La société raconte avoir trouvé des vulnérabilités plutôt variées :
- des applications qui forcent l’installation d’autres applis sans votre autorisation
- des outils qui enregistrent vos conversations à votre insu
- ou encore des applis qui modifient vos paramètres système et se débloquent des autorisations d’accès
Kryptowire a dressé une liste complète des brèches repérées, et les a classifiées par type et constructeur. Au total, l’entreprise affirme avoir découvert près de 146 failles en tout. 33 d’entre elles provenaient des appareils des grandes marques citées plus haut.
Google est pourtant au courant
Google est parfaitement conscient de ces dangers. En 2018, la firme de Mountain View a lancé un programme appelé Build Test Suite (BTS) que tous les fabricants partenaires doivent suivre. Le BTS scanne le firmware d’un appareil à la recherche du moindre problème de sécurité dissimulé dans l’une des applications pré-installées. Si une anomalie est détectée, ces applis sont normalement classifiée comme Applications potentiellement nuisibles, ou PHA en anglais pour Potentially Harmful Applications.
Selon l’entreprise, depuis le lancement du programme, le BTS a détecté et écarté 242 firmwares contenant des PHA. Alors comment les applications infectées repérées par Kryptowire ont-elles pu passer à travers les mailles du filet ? Google n’a pour l’instant pas communiqué sur ce sujet. Malheureusement, on se doute qu’un système automatisé comme le BTS n’est pas infaillible. Quand une faille passe inaperçue et intègre un smartphone prévu à la vente, il n’y aucune certitude pour qu’un correctif arrive un jour. Surtout sur les appareils de bas gamme, où le suivi et le support ne durent jamais très longtemps.
