Si elle n'a pas la même gravité que Heartbleed, du nom de cette faille qui a été découverte cette année dans le code source d'OpenSSL, une bibliothèque logicielle dont le rôle est crucial dans la sécurité des communications sur Internet, la vulnérabilité repérée dans Android par Bluebox, une firme dont la spécialité est la sécurité informatique, a provoqué une certaine frayeur.
En effet, cette brèche, baptisée "Fake ID" ("fausse identité"), remonte à 2010. Décrite dans un article rédigé sur le blog de la société, elle est apparue avec la version 2.1 du système d'exploitation mobile (baptisée Éclair) et n'avait jamais été repérée jusqu'à aujourd'hui. Ce n'est que très récemment que Bluebox l'a détectée, puisque la notification envoyée à Google a eu lieu en avril.
Contactée par le Guardian, la firme de Mountain View a expliqué qu'un patch a d'ores et déjà été déployé pour combler la faille. L'entreprise américaine s'est aussi voulue rassurante en expliquant qu'elle n'a pas d'éléments en sa possession permettant de dire que la vulnérabilité Fake ID a été utilisée pour dérober des informations personnelles.
Il faut dire que l'ancienneté et la portée de la brèche sont inhabituelles.
Outre le fait qu'elle n'a pas été remarquée ces quatre dernières années, elle permet de tromper le système et lui faire croire que les logiciels malveillants qui sont installés sur le terminal sont en fait authentiques. Par ricochet, ces malwares peuvent ensuite atteindre des données qui n'étaient pas accessibles. C'est d'ailleurs pour cela que le nom de "Fake ID" a été choisi pour la baptiser.
Selon Bluebox, toutes les versions d'Android situées entre les versions 2.1 et juste avant la mise à jour 4.4 sont concernées par la faille. D'après les statistiques que Google fournit à propos d'Android, cela concerne plus de 8 terminaux sur 10 (Android 4.4 n'étant installé que sur 18 % des terminaux, tandis que les versions inférieures à Android 2.1 sont anecdotiques).
( photo : CC BY Uncalno Tekno )
Découvrez les bonus
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Il y a une bonne raison de ne pas s'abonner à
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
