Une faille critique de sécurité sur Android peut-être exploitée sans aucun clic

le mercredi 24 janvier 2024

Dans son bulletin de sécurité pour décembre 2023, Google dévoile l’existence d’une importante faille de sécurité. Plus précisément, la faille touche les téléphones et tablettes roulant sur les systèmes Android 11, 12, 12L, 13 et 14. Cette faille permet à un pirate informatique de prendre contrôle de l’appareil sans qu’on ait à cliquer sur quoique ce soit. Un correctif de sécurité est déployé via une mise à jour, mais tous n’y ont pas droit en même temps.

Les détenteurs de téléphones et tablettes Android le savent, il faut être plus que vigilant avec ce système, puisqu’il existe de nombreuses menaces.

On doit se méfier non seulement des fausses applications sur le Play Store, mais aussi des fichiers APK, de l’hameçonnage et j’en passe…

De par son système dit: ouvert, Android ouvre la porte à davantage de risques.

Si la plupart de ces risques demandent une action de notre part (télécharger une application, un fichier ou cliquer sur un lien), il existe aussi des menaces où on peut être touché sans que l’on n’ait rien fait du tout!

Quels sont les risques de la faille CVE-2023-40088?

Ces menaces se nomment des failles « zéro-clic » et Google a justement révélé l’existence d’une telle faille dans son rapport de sécurité.

Cette faille a pour nom de code: CVE-2023-40088.

Sans surprise, Google révèle qu’il s’agit d’une faille critique. Cependant, l’entreprise de Mountain View reste évasive sur la nature même de la faille et comment elle peut être exploitée. Ceci s’explique au fait qu’ils ne veulent pas révéler la recette aux pirates informatiques.

Ainsi, on peut lire dans leur communiqué:

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant Système qui pourrait conduire à l’exécution de code à distance (proximal/adjacent) sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.

En résumé, un pirate informatique peut carrément prendre contrôle de notre appareil sans qu’on n’ait même cliqué sur quoique ce soit!

Comment est-ce possible?

On ne sait pas précisément dans ce cas-ci encore une fois, mais généralement les failles zéro-clic vont exploiter une vulnérabilité du système et se répandre soit par:

  • Courriels
  • Texto / SMS
  • Réseaux sociaux
  • Appels automatisés
  • Sites web malveillants
  • Applications de messageries

On comprend donc vite la sévérité d’une taille faille!

Quelles versions d’Android sont touchées par la faille de sécurité?

Cette faille touche les téléphones et tablettes roulant sur:

  • Android 11
  • Android 12
  • Android 12L
  • Android 13
  • Android 14

Pour connaître la version de son appareil Android, il suffit d’aller dans: Paramètres -> Système -> À propos du téléphone -> Version d’Android.

Comment bien sécuriser mon téléphone et ma tablette?

Google a déployé une mise à jour d’urgence pour colmater la faille de sécurité CVE-2023-40088 via l’Android Open Source Project.

Le hic, c’est que ce ne sont pas tous les appareils qui peuvent l’avoir en même temps.

Étant donné qu’il y a plusieurs fabricants d’appareils Android (Samsung, Motorola, HTC, etc.), c’est à chaque fabricant de déployer la mise à jour pour leurs appareils.

Il faut donc vérifier périodiquement si une nouvelle mise à jour est proposée sur notre appareil.

Comment vérifier et faire les mises à jour sur Android?

 Pour vérifier si une nouvelle mise à jour est disponible et l’installer, il faut:

  • Ouvrir les paramètres
  • Sélectionner l’onglet: Système
  • Appuyer sur: Mise à jour du système
  • Peser sur: Vérifier la présence de mises à jour
  • À noter que les libellés exacts peuvent changer d’un fabricant à un autre, alors qu’on reprend ceux des téléphones Pixel de Google.

    Sur un téléphone Samsung par exemple, il suffit dans les paramètres, puis défiler jusqu’à l’onglet: Mise à jour logicielle.

    Il est aussi possible de simplement taper: mise à jour dans la barre de recherche des paramètres pour être redirigé au bon endroit.

    Quoi faire si aucune mise à jour n’est disponible?

    Comme on le mentionnait précédemment, ce ne sont pas tous les appareils Android qui ont accès à la mise à jour en même temps.

    On fait quoi dans une situation où la mise à jour ne nous est pas proposée? On se protège comment face à une faille qui peut être exploitée sans qu’on n’ait rien à faire?

    La seule réponse est de se munir d’un bon antivirus mobile.

    Même si notre téléphone a une solution de protection de base offerte dans son système (Knox sur Samsung par exemple), il reste que ces systèmes ont besoin d’être mis à jour pour identifier les menaces.

    Si notre téléphone n’a pas accès aux nouvelles mises à jour, bien ce type de solution de défense n’est pas mis à jour n’ont plus! Ils ne peuvent donc pas identifier la menace…

    C’est pourquoi se munir d’un bon antivirus mobile est toujours à préconiser, car les solutions des grandes entreprises de cybersécurité sont constamment mises à jour pour identifier les dernières menaces.

    Lire ma chronique