{"id":11714,"date":"2015-11-04T10:41:11","date_gmt":"2015-11-04T15:41:11","guid":{"rendered":"http:\/\/34.230.97.218\/?p=11714"},"modified":"2015-11-11T07:12:41","modified_gmt":"2015-11-11T12:12:41","slug":"google-analyse-la-securite-du-samsung-galaxy-s6-edge-et-trouve-des-failles","status":"publish","type":"post","link":"https:\/\/maximejohnson.com\/techno\/2015\/11\/google-analyse-la-securite-du-samsung-galaxy-s6-edge-et-trouve-des-failles\/","title":{"rendered":"Google analyse la s\u00e9curit\u00e9 du Samsung Galaxy S6 Edge (et trouve des failles)"},"content":{"rendered":"<p><img decoding=\"async\" src=\"http:\/\/www.maximejohnson.com\/wp-content\/uploads\/2015\/03\/s6-edge.jpg\"><\/p>\n<p>Une \u00e9quipe d\u2019analystes en s\u00e9curit\u00e9 informatique du groupe Project Zero de Google a tourn\u00e9 son attention r\u00e9cemment pendant toute une semaine vers un seul t\u00e9l\u00e9phone Android, le Samsung Galaxy S6 Edge, pour voir si elle serait capable d\u2019y trouver des failles importantes. Une exp\u00e9rience qui ne redorera probablement l\u2019image des interfaces personnalis\u00e9es ajout\u00e9es par les fabricants de t\u00e9l\u00e9phones Android \u00e0 leurs appareils.<\/p>\n<p>Pourquoi le Samsung Galaxy S6 Edge en particulier? Parce que le Project Zero avait d\u00e9j\u00e0 analys\u00e9 des t\u00e9l\u00e9phones Nexus, et voulait maintenant analyser un appareil r\u00e9cent et populaire, dot\u00e9 d\u2019une interface et de logiciels personnalis\u00e9s, comme c\u2019est le cas avec la majorit\u00e9 des t\u00e9l\u00e9phones Android sur le march\u00e9. Ceux-ci incluent apr\u00e8s tout du code suppl\u00e9mentaire \u2013 et donc potentiellement des vuln\u00e9rabilit\u00e9s suppl\u00e9mentaires &#8211; \u00e0 tous les niveaux de privil\u00e8ge (une fa\u00e7on de dire que ce code, puisqu\u2019il a \u00e9t\u00e9 ajout\u00e9 par le fabricant, peut avoir acc\u00e8s aux parties les plus profondes du syst\u00e8me d\u2019exploitation, qui sont normalement prot\u00e9g\u00e9es des applications install\u00e9es par l\u2019utilisateur).<\/p>\n<p>Apr\u00e8s une semaine de travail seulement (par une \u00e9quipe de 10 personnes hautement qualifi\u00e9es, il faut le pr\u00e9ciser), 11 \u00ab vuln\u00e9rabilit\u00e9s jour z\u00e9ro \u00bb, pouvant \u00eatre exploit\u00e9es d\u00e8s maintenant, ont \u00e9t\u00e9 d\u00e9couvertes par les analystes de Projet Zero, dont plusieurs majeures. <\/p>\n<p><a href=\"http:\/\/googleprojectzero.blogspot.co.uk\/2015\/11\/hack-galaxy-hunting-bugs-in-samsung.html\">Il est possible de lire le compte-rendu de l\u2019exp\u00e9rience ici<\/a>. L\u2019analyste Natalie Silvanovich raconte notamment comment le groupe a \u00e9t\u00e9 divis\u00e9 en deux \u00e9quipes de 5 personnes, une en Am\u00e9rique du Nord et une en Europe, pour cr\u00e9er un esprit de comp\u00e9tition et pour trouver le plus de bogues possibles. <\/p>\n<p>Ceux-ci cherchaient sp\u00e9cifiquement des bogues pouvant donner un acc\u00e8s \u00e0 distance aux contacts, aux photos et aux messages (avec plus de points donn\u00e9s pour les vuln\u00e9rabilit\u00e9s ne n\u00e9cessitant pas d\u2019interaction avec l\u2019utilisateur), ou pouvant donner un acc\u00e8s aux contacts, aux photos, \u00e0 la g\u00e9olocalisation et plus \u00e0 partir d\u2019une application install\u00e9e de Google Play qui ne demandait aucune permission. Les \u00e9quipes pouvaient aussi trouver du code, install\u00e9 \u00e0 partir de ces deux premi\u00e8res cat\u00e9gories de vuln\u00e9rabilit\u00e9s, pouvant persister sur l\u2019appareil m\u00eame apr\u00e8s une restauration de l\u2019appareil \u00e0 ses valeurs d\u2019usine.  <\/p>\n<p>Project Zero a partag\u00e9 ses d\u00e9couvertes avec Samsung, qui a colmat\u00e9 les 8 br\u00e8ches les plus importantes dans les 90 jours suivant la r\u00e9ception de l\u2019information. 3 br\u00e8ches mineures existent toujours, mais devraient \u00eatre r\u00e9gl\u00e9es dans la mise \u00e0 jour de s\u00e9curit\u00e9 de novembre de l\u2019appareil. <\/p>\n<p>Bref, Samsung a tout de m\u00eame bien r\u00e9pondu \u00e0 l\u2019appel. <\/p>\n<p>L\u2019exp\u00e9rience de Project Zero montre toutefois que si une \u00e9quipe \u00e9tait motiv\u00e9e \u00e0 trouver des failles pour en tirer profit, et non pour pr\u00e9venir le fabricant par la suite, les t\u00e9l\u00e9phones Android dont le syst\u00e8me d\u2019exploitation n\u2019est pas g\u00e9r\u00e9 enti\u00e8rement par Google seraient probablement une cible potentielle int\u00e9ressante. Les failles trouv\u00e9es concerneraient toutefois souvent seulement le mod\u00e8le vis\u00e9, ce qui pourrait grandement r\u00e9duire leur potentiel par rapport \u00e0 une faille touchant Android au grand complet, par exemple. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une \u00e9quipe d\u2019analystes en s\u00e9curit\u00e9 informatique du groupe Project Zero de Google a tourn\u00e9 son attention r\u00e9cemment pendant toute une semaine vers un seul t\u00e9l\u00e9phone Android, le Samsung Galaxy S6 Edge, pour voir si elle serait capable d\u2019y trouver des failles importantes. Une exp\u00e9rience qui ne redorera probablement l\u2019image des interfaces personnalis\u00e9es ajout\u00e9es par les fabricants de t\u00e9l\u00e9phones Android \u00e0 leurs appareils.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false},"categories":[30],"tags":[17,131,1293],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p37EYA-32W","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/posts\/11714"}],"collection":[{"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/comments?post=11714"}],"version-history":[{"count":2,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/posts\/11714\/revisions"}],"predecessor-version":[{"id":11720,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/posts\/11714\/revisions\/11720"}],"wp:attachment":[{"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/media?parent=11714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/categories?post=11714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/maximejohnson.com\/techno\/wp-json\/wp\/v2\/tags?post=11714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}