Un défaut dans la caméra de certains smartphones Android est aujourd'hui largement évoqué dans la presse, alors qu'il a été repéré en juillet et corrigé depuis. Un décalage temporel surprenant, mais qui a plusieurs explications.

Vous l’avez peut-être lu ces jours-ci dans la presse anglophone ou francophone : à cause d’un défaut de conception dans l’application Google Caméra, une personne mal intentionnée « pourrait détourner votre appareil photo Android pour vous espionner ». C’est l’entreprise israélienne Checkmarx, spécialisée dans la sécurité des logiciels, qui l’affirme dans une publication datée du 19 novembre.

Alors, est-ce que vous devez dès à présent mettre un bout de ruban adhésif au recto et au verso de smartphone, afin d’éviter un mésusage de l’une des deux caméras ? En réalité, il n’y a pas nécessairement lieu de s’alarmer : il faut savoir que la faille en cause avait été repérée dès cet été et qu’un correctif de sécurité a depuis été conçu et mis à disposition des terminaux affectés.

Mais alors, pourquoi en parle-t-on maintenant ?

Le Pixel 3, un smartphone qui a été concerné par le bug. // Source : Numerama

Vérification et correction

Trois éléments de réponse peuvent être apportés. D’abord, il s’agissait de corriger une faille qui aurait pu être effectivement exploitée à des fins malveillantes. Selon Checkmarx, il a été constaté la possibilité de « contrôler l’application pour prendre des photos et/ou enregistrer des vidéos via une application malhonnête qui n’a pas les permissions de le faire ».

Pour cela, des échanges entre Checkmarx et Google ont eu lieu tout au long du mois de juillet. La trouvaille de l’entreprise a été jugée sérieuse par la firme de Mountain View, car elle a non seulement validé le signalement, mais elle l’a en plus classifié au rang d’alerte « modérée » puis « élevée ». Les discussions ont aussi permis d’établir que la faille affectait divers modèles de smartphones.

Les Google Pixel 3 et Pixel 3 XL. // Source : Google

Du côté de Google, la vulnérabilité a pu être observée dans les Pixel 2 XL et Pixel 3. Chez la concurrence, Checkmarx suspectait que le défaut existe sur d’autres terminaux — cette supposition a été confirmée début août par Google. Dans les semaines qui ont suivi, plusieurs d’entre eux (non nommés) ont été prévenus de l’existence du problème. Parmi eux, seul Samsung a confirmé être touché.

Feu vert des constructeurs

Ensuite, une fois la réalité de la brèche constatée et le patch déployé (selon un porte-parole de Google, « le souci a été traité sur les appareils Google impactés via une mise à jour de l’application Google Caméra sur le Play Store en juillet 2019. Un patch a également été mis à la disposition de tous les partenaires »), Checkmarx a attendu l’approbation de Google et de Samsung pour publier son récit.

smartphone-samsung-galaxy
Des smartphones Samsung ont aussi été concernés, mais les modèles en cause n’ont pas été communiqués. // Source : TechStage

Ce feu vert est survenu en novembre 2019, soit près de cinq mois après la soumission du bug à Google. Un délai long, qui peut se comprendre au regard du délai nécessaire pour analyser les allégations de Checkmarx, évaluer la dangerosité pour le public, développer et valider un patch et lui laisser assez de temps pour qu’il soit déployé sur le plus grand nombre d’appareils possible.

Respect des bonnes pratiques

Quant a à la dernière raison, qui est liée aux deux précédentes, il s’agissait sans doute de respecter les bonnes pratiques en matière de sécurité informatique. Ainsi, dans le cadre de la divulgation responsable, les entreprises dont les produits et services ont été auscultés sont contactées en privé et bénéficient d’un délai pour apporter les corrections adéquates, avant que l’information ne devienne publique.

Ce délai est variable : il dépend essentiellement de la criticité de la découverte. Les sociétés de sécurité informatique sont fortement incitées à respecter ce cadre, d’autant qu’il y a des entreprises qui versent des récompenses en échange, si les procédures ont été respectées à la lettre. Google propose un tel programme. Mais l’histoire ne dit pas si Checkmarx a bénéficié d’une récompense de ce type.

Partager sur les réseaux sociaux