Les smartphones Xiaomi avec la surcouche MIUI (donc pas ceux sous Android One) disposent d’une application préinstallée appelée tout simplement Sécurité (en fait Guard Provider dans la liste des processus). Cette dernière fait office de rempart contre les saletés, mais elle a dernièrement été prise à défaut par Check Point, un spécialiste mondial de la sécurité. Selon ce dernier, une faille permettait de prendre le contrôle du smartphone et bien sûr un vent de panique a soufflé sur le petit monde des utilisateurs de smartphones Xiaomi. Le constructeur s’est donc excusé, a corrigé la faille, mais c’est maintenant au tour d’Avast de répliquer.
Avast contre-attaque !
Pourquoi Avast ? La société tchèque, très connue en France grâce à son antivirus gratuit sous Windows est en fait à l’origine de cette fameuse appli de sécurité qui fait couler beaucoup d’encre. La société commence par confirmer qu’il existait effectivement une faille dans le code, mais ajoute que le risque d’attaque était très réduit. En effet, les probabilités d’une attaque effective telle que décrite par Check Point sont tellement faibles que pour Avast, il s’agit plutôt d’une «démonstration de faisabilité» que d’une véritable exposition de faille.
Le problème se situait au niveau de la mise à jour de l’appli, non chiffrée, via le protocole HTTP. Un attaquant pouvait donc, à condition d’être sur le même réseau WiFi que la victime, tenter d’intercepter des données pour injecter un code malicieux sur le smartphone. Bon, ce n’est pas de la science-fiction, mais ce n’est pas non plus le piratage le plus facile à réaliser. Sans compter qu’il faudrait une sacrée dose de (mal)chance pour tomber sur un appareil Xiaomi défaillant dans un McDo et disposer d’assez de temps pour mettre l’attaque en place. Cette mésaventure nous aura permis d’apprendre que c’est Avast qui s’occupe de l’appli de sécurité pour Xiaomi et pas des espions chinois qui scrutent votre trafic et volent des photos dans une cave à Pékin comme certains aiment le penser…
