C’est une faille critique ! Qui permet en plus de répandre des logiciels malveillants sur votre smartphone Android ! Même si ces deux alertes sont bien vraies, ne vous inquiétez pas. Comme d’habitude dans le circuit de l’information de la cybersécurité, la faille a été découverte et réparée avant même d’être rendue publique. Il suffit donc de tenir son smartphone à jour pour s’en protéger.
Ce n’est pas tout : les chercheurs en cybersécurité qui l’ont découvert n’ont pas rendu publique leur méthode pour l’exploiter. Rien n’indique donc que des malfrats savent profiter de cette faille. Et même si elle permet d’effectuer des attaques très développées, elle s’avère en réalité compliquée à mettre en place.
La faille, qui répond au doux nom de CVE-2020-0033, a été repérée par le chercheur en cybersécurité Jan Ruge et communiquée par l’entreprise allemande ERNW. Google a pu commencer à la réparer dès novembre 2019.
Une puissante attaque…
Grâce à cette faille, un hacker peut passer par le Bluetooh d’un smartphone Android pour installer des logiciels malveillants, à distance, et discrètement. Il n’a pas besoin d’action de sa victime pour que son attaque réussisse. D’après Jan Ruge, cité par le Bleeping Computer, les attaquants peuvent ensuite répandre leurs logiciels malveillants d’un appareil à un autre sur le même réseau.
Pour effectuer la manipulation, le hacker n’a besoin que d’une donnée : l’adresse Bluetooth MAC de l’appareil de sa cible. Il s’agit d’un identifiant stocké sur votre téléphone, lié à sa carte réseau. Les chercheurs rappellent que cette adresse est relativement facile à trouver. Pour certains appareils, il suffit même de la déduire à partir de l’adresse MAC du routeur Wi-Fi, visible par tous. Dans le cas où une cible serait connectée au Wi-Fi d’un Starbucks par exemple, la MAC de son Bluetooth pourrait être accessible par le hacker.
…finalement très limitée
Mais même si la faille est classée comme critique, elle est facile à éviter. D’abord elle ne concerne que les smartphones qui opèrent sous Android Oreo (8 et 8.1) et Android Pie (9.0). Sur la version la plus récente du système d’exploitation de Google, Android 10, l’exploitation de la faille ne permet que de faire crasher le Bluetooth. Une menace relativement limitée, donc.
Ensuite, l’exploitation de la faille passe par le Bluetooth, un réseau qui a une portée d’une dizaine de mètres. Le hacker peut œuvrer à distance, mais il ne sera pas bien loin : c’est une prise de risque supplémentaire pour lui.
Mettez à jour votre smartphone
Comme d’habitude, cette vulnérabilité était réparée avant d’être rendue publique. Si vous mettez régulièrement votre système d’exploitation à jour, vous n’êtes donc pas concernés. Le patch de sécurité de février corrige également 22 autres bugs du logiciel, profitez-en.
Les chercheurs de ERNW se sont tout de même abstenus de poster des détails techniques sur la vulnérabilité, au cas où des tiers malveillants s’en serviraient. Ils n’ont pas publié la preuve de concept de leur manœuvre, et ils protègent ainsi les utilisateurs les moins avertis.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
