Google analyse la sécurité du Samsung Galaxy S6 Edge (et trouve des failles)
Une équipe d’analystes en sécurité informatique du groupe Project Zero de Google a tourné son attention récemment pendant toute une semaine vers un seul téléphone Android, le Samsung Galaxy S6 Edge, pour voir si elle serait capable d’y trouver des failles importantes. Une expérience qui ne redorera probablement l’image des interfaces personnalisées ajoutées par les fabricants de téléphones Android à leurs appareils.
Pourquoi le Samsung Galaxy S6 Edge en particulier? Parce que le Project Zero avait déjà analysé des téléphones Nexus, et voulait maintenant analyser un appareil récent et populaire, doté d’une interface et de logiciels personnalisés, comme c’est le cas avec la majorité des téléphones Android sur le marché. Ceux-ci incluent après tout du code supplémentaire – et donc potentiellement des vulnérabilités supplémentaires – à tous les niveaux de privilège (une façon de dire que ce code, puisqu’il a été ajouté par le fabricant, peut avoir accès aux parties les plus profondes du système d’exploitation, qui sont normalement protégées des applications installées par l’utilisateur).
Après une semaine de travail seulement (par une équipe de 10 personnes hautement qualifiées, il faut le préciser), 11 « vulnérabilités jour zéro », pouvant être exploitées dès maintenant, ont été découvertes par les analystes de Projet Zero, dont plusieurs majeures.
Il est possible de lire le compte-rendu de l’expérience ici. L’analyste Natalie Silvanovich raconte notamment comment le groupe a été divisé en deux équipes de 5 personnes, une en Amérique du Nord et une en Europe, pour créer un esprit de compétition et pour trouver le plus de bogues possibles.
Ceux-ci cherchaient spécifiquement des bogues pouvant donner un accès à distance aux contacts, aux photos et aux messages (avec plus de points donnés pour les vulnérabilités ne nécessitant pas d’interaction avec l’utilisateur), ou pouvant donner un accès aux contacts, aux photos, à la géolocalisation et plus à partir d’une application installée de Google Play qui ne demandait aucune permission. Les équipes pouvaient aussi trouver du code, installé à partir de ces deux premières catégories de vulnérabilités, pouvant persister sur l’appareil même après une restauration de l’appareil à ses valeurs d’usine.
Project Zero a partagé ses découvertes avec Samsung, qui a colmaté les 8 brèches les plus importantes dans les 90 jours suivant la réception de l’information. 3 brèches mineures existent toujours, mais devraient être réglées dans la mise à jour de sécurité de novembre de l’appareil.
Bref, Samsung a tout de même bien répondu à l’appel.
L’expérience de Project Zero montre toutefois que si une équipe était motivée à trouver des failles pour en tirer profit, et non pour prévenir le fabricant par la suite, les téléphones Android dont le système d’exploitation n’est pas géré entièrement par Google seraient probablement une cible potentielle intéressante. Les failles trouvées concerneraient toutefois souvent seulement le modèle visé, ce qui pourrait grandement réduire leur potentiel par rapport à une faille touchant Android au grand complet, par exemple.