Les chercheurs de Bluebox Labs viennent de découvrir une énorme faille de sécurité sur les appareils mobiles tournant sous le système d'exploitation de Google. Baptisée Fake ID, cette erreur rendrait plus de 82% des smartphones et tablettes vulnérables.
Sécurité des applications compromise
Selon les experts de Bluebox, cette faille qu'ils ont baptisée Fake ID, serait assez grave puisqu'elle concerne la sécurité des appareils tournant sous les versions 2.1 Eclair jusqu'à 4.4 KitKat soit plus de 82% des terminaux en circulation actuellement. Cette faille concernerait les certificats imbriqués dont la vérification de la provenance ne serait pas assez suffisante pour assurer la sécurité des applications. Les smartphones seraient à cet effet exposés dans la mesure où il est possible d'installer des applications malicieuses dessus en utilisant un code tiers sans que le système ne le détecte. Concrètement, une application malveillante se fait passer pour une autre authentique et peut ainsi déjouer la vigilance des systèmes de sécurité qui vont la laisser s'installer sur les terminaux mobiles. C'est pour cela que cette application a été baptisée Fake ID du fait de sa capacité à se faire passer pour une autre en utilisant un certificat usurpé. Une attaque par un cheval de Troie est ainsi tout à fait possible à cause de cette faille sécuritaire constatée sur les appareils sous Android. Cette application aura ainsi accès à toutes les données stockées sur l'appareil, les récupérer et les utiliser. Les certificats parents vont ainsi laisser des certificats enfants s'installer car ils n'auront pas les moyens de réellement vérifier leur authenticité.
Faille corrigée mais inquiétude persistante
Selon Google, le développeur des applications Android, cette faille qui lui a été signalée par Bluebox au mois d'Avril aurait déjà été corrigée et ne représenterait plus aucun danger pour les utilisateurs. Toutes les entreprises partenaires de la firme de Mountain View en avaient été informées et peuvent ainsi continuer à fabriquer des appareils tournant sous les systèmes d'exploitation de Google. En effet, selon les propos d'un responsable de cette firme rapportés par le journal The Guardian, "aucune vulnérabilité n'a été constatée après avoir scanné toutes les applications soumises à notre plateforme Google Play ". Cependant, les inquiétudes des utilisateurs ne faiblissent pas d'autant plus qu'Apple vient de défendre becs et ongles son système de sécurité mis à mal par la publication faite par des chercheurs selon lesquels l'iOS comporterait un accès secret au logiciel dénommé porte dérobée et qui permettrait à des personnes mal intentionnées d'accéder à des données personnelles appartenant à des utilisateurs d'iPhone ou d'iPad sans que ceux-ci en soient conscients. Evidemment la firme de Cupertino a fait un démenti formel mais ces révélations successives font naitre une inquiétude auprès des utilisateurs de smartphones et de tablettes, encore traumatisés par le scandale Prism qui est resté dans les mémoires. Même si les failles ont toujours existé dans tout système informatique, la découverte d'une d'entre elles fait toujours l'objet d'un intérêt particulier de la part des médias et du public.