Pourquoi tous les Androidiens doivent prendre au sérieux Stagefright

  • octobre 5, 2015
  • 11 min read

C’est à la conférence Black Hat en août 2015 qu’a été divulguée l’existence de Stagefright, une vulnérabilité affectant les appareils sous Android. Vous en avez peut être entendu parler, la frénésie médiatique s’en suivant ayant affirmé que des centaines de millions de smartphones pourraient être piratés via un simple texto. Qu’en est-il réellement ? Si tel était le cas, pour sûr Google, le développeur du très populaire système d’exploitation aurait déjà sorti un correctif, non ?

(image: pocket-lint.com)

(image: pocket-lint.com)

 

En quoi consiste Stagefright et pourquoi s’en soucier ?

Vous vous êtes peut-être habitué à l’ensemble des failles, bogues et alertes qui croupissent sur la planète Technologie et vous ne vous inquiétez pas plus que ça parce que vous savez que le développeur concerné publiera un correctif. Pas vrai ?

Malheureusement, la question n’est pas si simple avec Stagefright. Pensez à un film apocalyptique dans lequel un astéroïde meurtrier est sur le point de frapper la Terre, et les scientifiques n’ont aucun moyen de le détourner même en recourant à l’utilisation du nec plus ultra en mat!ère d’avancées technologiques. En bref, le bogue Stagefright, en raison de la nature de l’écosystème Android, risque fort de ne pas être solutionné prochainement. Si les choses ne changent pas, ce n’est qu’une question de temps avant qu’un exploit ne vienne endommager tous les appareils sous ce système, déclenchant un véritable chaos pour un nombre impensable de dispositifs.

Donc, oui, il est possible que vous receviez une vidéo étrange par texto et que, même sans l’ouvrir, un cybercriminel à l’autre bout du monde commence à vous espionner via la caméra de votre appareil. Cette possibilité n’est toutefois qu’une parmi tant d’autres.

Si un pirate arrive à s’introduire dans votre appareil grâce à la faille Stagefright, il pourrait accéder à votre carnet d’adresses, vos applications, l’historique de vos messages, vos e-mails personnels, ainsi que toutes les informations liées à votre compte Google. Cela signifie que chaque information associée à votre compte Google – de Gmail à Google Drive – est en jeu : vos informations financières, votre historique de navigation, vos messages personnels, vos documents de travail confidentiels…

Il est impératif que vous compreniez que votre smartphone n’est pas le seul à risque ici. Votre vie numérique entière l’est.

Comment fonctionne Android, exactement ?

Pour comprendre exactement en quoi consiste la faille Stagefright, il est important de s’intéresser à l’architecture Android. Android est un système d’exploitation très modulaire, dont les opérations sont scindées en processus distincts. Ceci est en partie dû à Dalvik, la machine virtuelle incorporée dans la plupart des téléphones Android (remplacée entièrement par Android Runtime dans la version Android 5.0) et qui permet à chaque application de fonctionner séparément et indépendamment du noyau Linux. Les applications ainsi ne sont pas en mesure d’interférer négativement les unes avec les autres ni avec le système d’exploitation.

android_appsCela signifie que les processus du programme reposent sur les IPC, ou communications inter-processus, afin de fonctionner ensemble. Cette façon de procéder permet d’exécuter les applications dans un environnement sécurisé, appelé bac à sable (sandbox en anglais voire aussi en français conteneurisation). L’un des prétendus avantages est que l’isolation des applications améliore la sécurité dans son ensemble.

Stagefright est ce qui traite les médias dans Android MediaServer, écrit principalement en C++. Il gère tous les fichiers audio et vidéo, et propose des moyens de lecture. Il extrait également les métadonnées pour la galerie (comme les vignettes ou les dimensions d’une vidéo).

 

Comment la faille Stagefright vous affecte

Il peut donc être raisonnable de supposer que, puisque les programmes de votre téléphone opèrent dans un environnement sécurisé, la plupart des aspects du système sont protégés contre une seule faille. Malheureusement, alors que la nature compartimentée d’Android est censée empêcher toute interférence entre les programmes, MediaServer est un service très privilégié qui a entre autres accès à l’audio, au bluetooth, à l’appareil photo et à Internet. Pire encore, de nombreux fabricants de téléphones ont accordé à Stagefright l’autorisation d’accéder au système de composants sur leurs appareils, ce qui équivaut presque à un accès racine.

En termes simples : un pirate pourrait accéder à l’ensemble de votre appareil.

Un attaquant n’a besoin que de votre numéro de téléphone pour réussir son piratage. Il ou elle pourrait exécuter un code à distance à travers une vidéo envoyée par MMS. Aucune action de votre part n’est requise puisque les téléphones sous Android sont configurés de manière à précharger les vidéos. L’attaquant peut même supprimer le message après l’avoir envoyé, vous laissant avec une notification mystérieuse et guère plus.

Si cela ne vous effraie pas encore assez, le pire reste à venir. La réalité est que notre description ci-dessus n’est qu’une façon d’exploiter la faille. Laissez les pirates du monde entier faire preuve d’imagination (et ils n’en manquent pas) pour en découvrir de nombreuses autres.

Qui a découvert la faille ?

Joshua J. Drake, un expert en sécurité Android, est l’homme derrière la recherche. Il est le directeur principal de la plateforme de recherche à Zimperium Enterprise Mobile Security, et l’auteur de « Android Hacker’s Handbook » (Manuel de piratage d’Android). Il est aussi le fondateur du groupe de recherche #droidsec, une communauté de recherche axée sur Android.

Avec le soutien de Zimperium et Optiv, Drake a mené cette recherche sur la sécurité en utilisant son « armée de droïdes », un ensemble de 51 appareils sous Android. Vous pouvez en apprendre plus sur la façon dont il a mené ses recherches en regardant sa présentation (en anglais) délivrée lors de la conférence Black Hat à Las Vegas.

Un monde Android fragmenté

Android est l’un des systèmes d’exploitation les plus populaires au monde et son histoire est unique. Le rythme de développement est incroyablement rapide, mais cette rapidité a un prix. Comme les fabricants d’équipement d’origine et les opérateurs sont en mesure d’adapter le système d’exploitation en raison de sa nature open source, un certain nombre d’itérations comportent des exigences de correction et des besoins de mise à jour propres car plus de 24 000 modèles existent actuellement dans l’écosystème Android.

Le plus gros problème avec cette faille, comme l’auteur Ron Amadeo pour Ars Technica le souligne (article en anglais), est que les fabricants d’équipement d’origine ont pu adapter le code Android afin que celui-ci fonctionne avec leurs appareils. Le dilemme auquel nous faisons face est qu’il faudrait créer une quantité inimaginable de correctifs afin de protéger efficacement la plupart des téléphones sous Android sur le marché, et aucune entreprise, équipe ou entité n’a, à elle seule, la responsabilité de solutionner ce problème. Les mises à jour seront axées sur les nouveaux téléphones et de nombreux correctifs seront tributaires d’une myriade de fabricants et d’opérateur pour leurs distributions. Il est donc possible que des millions voire des centaines de millions d’appareils restent indéfiniment vulnérables.

Que fait le secteur pour parer au problème ?

Google, ainsi qu’un certain nombre de fabricants et d’opérateurs ont adressé le problème en publicant des correctifs pour les appareils suivants.

Zimperium a également lancé ZHA, une alliance visant à réunir tous les acteurs de la sphère mobile, afin d’aborder la question de la communication entre fabricants et opérateurs concernés. Comme Zimperium le dit si bien : « Selon notre compréhension de l’écosystème Android, les problèmes de sécurité signalés à Google sont uniquement partagés avec les partenaires actifs. »

Zimperium a également lancé une application, du nom de Stagefright Detection, qui peut vous aider à identifier si votre téléphone est réellement touchée par cette faille.

Alors, quel est le problème ?

Vous pourriez penser que puisque des correctifs sont publiés, il ne devrait pas y avoir de problèmes supplémentaires. Des correctifs pour les modèles plus anciens arriveront tôt ou tard, et Zimperium contribuera à faciliter la communication entre Google, les opérateurs et les fabricants.

Même si tel est le cas, et que des correctifs seront en effet développés pour la majorité des smartphones, l’efficacité du premier correctif de Google peut toujours poser problème. Le chercheur en sécurité Jordan Gruskovnjak d’Exodus Intelligence a signalé que le correctif initial publié par Google était inadéquat. L’équipe d’Exodus a même été en mesure de concevoir un MP4 capable de le contourner. Ils prétendent par ailleurs que l’application de détection de Zimperium Stagefright Detection indiquera que votre téléphone est sûr, même s’il reste encore vulnérable.

Google a réagi à la situation en affirmant dans une déclaration à The Verge : « Nous avons déjà envoyé le correctif à nos partenaires pour protéger leurs utilisateurs, et les Nexus 4/5/6/7/9/10 ainsi que le Nexus Player recevront une mise à jour OTA lors de la mise à jour de sécurité mensuelle en septembre « .

Si cela ne suffisait pas, Rob Miller de MWR Labs a trouvé une autre vulnérabilité capable elle aussi de contourner le mécanisme de l’environnement sécurisé. Initialement annoncé en mars, il semble que Google n’a pas encore publié de correctif efficace. Des chercheurs de Trend Micro ont affirmé avoir également trouvé une vulnérabilité, cette fois dans Android MediaServer, qu’ils ont signalée à Google en juin (Google a publié un correctif début août).

La réalité est que, même si le prochain correctif de Google est efficace, il ne pourra rectifier entièrement le tir. La fièvre médiatique Stagefright a simplement mis sous les feux des projecteurs une boîte de Pandore ouverte il y a bien longtemps : Android comporte des défauts majeurs de sécurité, et la chaîne brisée entre distributeurs et fabricants, le rend presque impossible à rectifier.

Les mesures que vous pouvez prendre

Si vous avez un téléphone sous Android de version 2.2 ou ultérieure, vous pourriez avoir l’impression d’être un peu pieds et poings liés. Mais nous vous encourageons à faire tout votre possible pour reprendre les rennes de votre sécurité.

Il est certes vrai que votre contrôle face à toutes les vulnérabilités dont votre smartphone pourrait être criblées est sommes toutes limité, toutefois vous pouvez prendre plusieurs mesures afin de renforcer la sûreté de votre expérience Android. Même si vous ne disposez pas d’un smartphone sous Android, nous vous recommandons tout de même de mettre en application ces conseils pour votre propre sécurité.

Modifiez vos paramètres

Il est important de reconnaître que si Zimperium a démontré la viabilité d’un exploit via MMS, et que c’est ce qu’ont retenu principalement les médias, ceci n’est qu’un exemple de la façon dont la faille peut être exploitée. Désactiver la récupération automatique ne vous protégera pas nécessairement contre tous les piratages possibles. Joshua J. Drake a lui-même dit lors de la conférence Black Hat que le bogue Stagefright est exposé via de multiples vecteurs d’attaque.

Cela étant dit, l’attaque via MMS a reçu beaucoup d’attention, et il est possible que les cybercriminels en tirent avantage. Il est donc préférable de désactiver cette fonction de récupération automatique car elle précharge les vidéos et les messages pour vous. Découvrez ci-dessous comment le faire sur les applications de messagerie les plus courantes :

Google Hangout

Ouvrez l’application, appuyez sur les trois carrés verticaux dans le coin supérieur gauche puis sélectionnez Paramètres. Cliquez sur la roue d’engrenage puis sélectionnez SMS. Décochez l’option de récupération automatique des MMS.

 

Désactivation de la récupération automatique de MMS quand Hangouts est utilisé par défaut

Viber

Cliquez sur la roue d’engrenages des Paramètres et sélectionnez Média. Décocher ensuite Téléchargement auto. des vidéos.

Screenshot_2015-10-02-16-27-50 Screenshot_2015-10-02-16-28-04 Screenshot_2015-10-02-16-28-11

 

 

 

 

 

 

 

 

 

WhatsApp

Cliquez sur les trois points verticaux du menu puis Paramètres, Discussions et appels, et enfin Téléch. auto des médias. Sélectionnez ensuite En connexion Wi-Fi. Décochez Vidéos et faites de même dans la rubrique En utilisant données mobiles.

Screenshot_2015-10-02-16-28-46

Screenshot_2015-10-02-16-28-56 Screenshot_2015-10-02-16-31-07

 

 

 

 

 

 

 

 

Google Messenger

Appuyez sur les trois points verticaux dans le coin supérieur droit. Sélectionnez Paramètres puis Avancés. Déplacez ensuite le curseur de la fonction de récupération automatique vers la gauche.

Screenshot_2015-10-02-16-40-36 Screenshot_2015-10-02-16-40-47 (1) Screenshot_2015-10-02-16-40-57 (1)

 

 

 

 

 

 

 

 

 

Messages Samsung

Allez dans Message puis sélectionnez Paramètres, ensuite MMS. Une fois sur l’écran, décochez Récupération automatique.

samsung1 12084985_10153634675283516_2071465679_o 12116304_10153634673653516_559361634_o

 

 

 

 

 

 

 

 

 

 

 

 

Même après la désactivation de la fonction de récupération automatique, méfiez-vous des chargement manuels de MMS quand ceux-ci proviennent d’une source inconnue. Pour garantir une meilleure sécurité, n’en acceptez pas non plus de vos amis ou de votre famille car ils peuvent, sans le savoir, vous mettre à risque si leur smartphone est compromis.

Les choix qui s’offrent à vous en tant que consommateur

Bien que la plupart des gens normaux n’aient pas les ressources leur permettant d’acheter le dernier modèle de smartphone, il est important de garder à l’esprit que les futurs appareils seront plus sûrs que les modèles actuels. En outre, d’importants correctifs et mises à jour de sécurité ne seront généralement pas développés pour les dispositifs non en mesure de prendre en charge les nouvelles versions d’Android.

Essayez dans la mesure du possible de vous tenir au courant des actualités concernant les systèmes d’exploitation et programmes que vous utilisez, et procédez religieusement à la mise à jour vers les versions les plus récentes dès leur sortie. Par exemple, le navigateur Mozilla Firefox a également été affecté par la vulnérabilité Stagefright, mais le problème a été résolu dès la version 38.

Faites-vous entendre

Ce n’est pas parce que les médias traditionnels ne parlent plus du sujet que le bogue Stagefright a cessé de toucher des millions de personnes dans le monde entier. Exprimez vos propres préoccupations et demandez à votre opérateur de vous tenir informé sur la question.

N’hésitez pas à utiliser la force des réseaux sociaux pour en parler et, dans vos billets, identifiez Google, votre opérateur ainsi que le fabricant de votre smartphone. Partagez les articles traitant de Stagefright à vos proches utilisant Android.

Changez de système d’exploitation

Cette option est offerte aux utilisateurs les plus expérimentés et nous ne la recommandons pas aux autres utilisateurs. Toutefois cette option existe et il convient d’en parler plus souvent. Si essayer cette option vous tente, envisagez d’utiliser le firmware avec une ROM mise à jour régulièrement, comme CyanogenMod.

Vous aurez besoin d’accéder à la racine de votre téléphone et, si vous le faites, plus grandes seront vos chances de perdre votre garantie fabricant. Sachez également que cette démarche ne vous protégera pas à 100 % de la vulnérabilité Stagefright ou d’autres bogues. L’avantage est que vous aurez toujours un appareil sous Android, mais n’aurez plus à attendre que les fabricants et les opérateurs publient des correctifs car vous recevrez les mises à jour immédiatement.

Au fil des mois, nous ne pouvons qu’espérer qu’une réelle solution à ce problème soit trouvée. Tenez-vous informé des mises à jour de sécurité, abonnez-vous à des bulletins d’information et suivez les blogs de sécurité. Parlez-en à vos amis et votre famille, et faites valoir vos droits en matière de confidentialité et sécurité en tant que consommateur. Certes les développements technologiques avancent à un rythme impressionnant, toutefois ils ne servent à rien d’avoir des appareils derniers cris si nous nous dirigeons vers un Armageddon numérique. Rappelez-vous, la sécurité est tout aussi importante que le progrès.

 

Nous vous souhaitons une excellente journée, sans exploit !

 

Fran Rajewski

What to read next

Reader Comments