Une faille affectant la quasi-totalité des versions d'Android a été corrigée par Google, qui a été alerté ce printemps par une société de sécurité informatique. Cette vulnérabilité, baptisée Fake ID, permet de tromper le système en faisant passer des logiciels malveillants pour des programmes authentiques afin de dérober des données personnelles.

Si elle n'a pas la même gravité que Heartbleed, du nom de cette faille qui a été découverte cette année dans le code source d'OpenSSL, une bibliothèque logicielle dont le rôle est crucial dans la sécurité des communications sur Internet, la vulnérabilité repérée dans Android par Bluebox, une firme dont la spécialité est la sécurité informatique, a provoqué une certaine frayeur.

En effet, cette brèche, baptisée "Fake ID" ("fausse identité"), remonte à 2010. Décrite dans un article rédigé sur le blog de la société, elle est apparue avec la version 2.1 du système d'exploitation mobile (baptisée Éclair) et n'avait jamais été repérée jusqu'à aujourd'hui. Ce n'est que très récemment que Bluebox l'a détectée, puisque la notification envoyée à Google a eu lieu en avril.

Contactée par le Guardian, la firme de Mountain View a expliqué qu'un patch a d'ores et déjà été déployé pour combler la faille. L'entreprise américaine s'est aussi voulue rassurante en expliquant qu'elle n'a pas d'éléments en sa possession permettant de dire que la vulnérabilité Fake ID a été utilisée pour dérober des informations personnelles.

Il faut dire que l'ancienneté et la portée de la brèche sont inhabituelles.

Outre le fait qu'elle n'a pas été remarquée ces quatre dernières années, elle permet de tromper le système et lui faire croire que les logiciels malveillants qui sont installés sur le terminal sont en fait authentiques. Par ricochet, ces malwares peuvent ensuite atteindre des données qui n'étaient pas accessibles. C'est d'ailleurs pour cela que le nom de "Fake ID" a été choisi pour la baptiser.

Selon Bluebox, toutes les versions d'Android situées entre les versions 2.1 et juste avant la mise à jour 4.4 sont concernées par la faille. D'après les statistiques que Google fournit à propos d'Android, cela concerne plus de 8 terminaux sur 10 (Android 4.4 n'étant installé que sur 18 % des terminaux, tandis que les versions inférieures à Android 2.1 sont anecdotiques).

( photo : CC BY Uncalno Tekno )

Partager sur les réseaux sociaux

Articles liés