Sacré Project Zero. Depuis sa création en juillet 2014, l’équipe de chasseurs de cyberattaque de la firme de Moutain View ne chôme pas. Pour rappel, ce groupe d’expert en cybersécurité a pour rôle d’identifier, traquer, et éliminer toutes les failles Zero Day. Comprenez par là, des vulnérabilités qui n’ont fait l’objet d’aucune publication auparavant, et qui n’ont jamais été patché. Des attaques inédites en somme.
Un accès root en guise de récompense
Selon les informaticiens, cette faille de sécurité majeure affecte plusieurs modèles de smartphones spécifiques. Les Google Pixels 1 et 2 semblent être touchés en priorité, suivis par des Galaxy S plutôt récents, comme le S7-8-9. Huawei n’est pas épargné. Des P20 ont également été infectés.
Autre information importante, cette brèche a déjà été exploité il y a quelques mois de cela par un groupe israélien : NSO Group. Les plus attentifs d’entre vous se souviennent peut-être de cette entreprise spécialisée. Nous vous en parlions dans nos colonnes. Cette société a crée Cellebrite, une solution capable de déverrouiller n’importe quel smartphone Android et iOS. NSO Group est bien connu du milieu du hacking pour vendre aux plus offrants des outils de surveillance plus ou moins légaux.
Pour profiter de la faille, il faut visiblement pousser l’utilisateur à effectuer une commande sur son smartphone, soit via un mail ou un texto vérolé par exemple. L’accès physique reste la voie royale, mais c’est évidemment bien plus compliqué pour le hacker. Une fois dans la place, le pirate obtient un accès root sur le téléphone cible. Et peut donc faire ce qui lui chante… Récupérer vos contacts, vos photos, vos données stockées dans la mémoire interne, vos textos, etc.
7 jours pas plus
Les hommes et femmes du Project Zero ont posé un ultimatum aux équipes en charge de la sécurité d’Android : vous avez 7 jours pour colmater la brèche et réparer le problème. Ce délai arrivé à terme, nous dévoilerons publiquement la découverte de cette faille (et du coup votre incompétence peut-être ?). Sacré coup de pression.
D’ordinaire, les techniciens ont 90 jours pour trouver une solution… Quand la faille n’a pas encore été exploitée. Ce qui n’est pas le cas ici. Il y a urgence, et dans ce cas, ils ont une semaine seulement pour fixer cette vulnérabilité. Les constructeurs partenaires de Google ont été informé à leur tour de la situation. Vraisemblablement, un correctif devrait être déployé pendant le mois d’octobre à destination des Pixels de première génération.
