En direct
Best of
Best of du 30 novembre au 6 décembre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

02.

Jamais une mission spatiale ne s’était autant approchée du soleil. Voilà ce que la Nasa en a appris

03.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

04.

Affaire d’espionnage russe en Haute Savoie, qui manipule qui ?

05.

Grève du 5 décembre : COUP DE STUPÉFACTION !

06.

Fraude massive à la TVA dans le e-commerce : pourquoi il est urgent de simplifier notre système fiscal

07.

Retraites : cette spirale infernale qui risque de plomber aussi bien le gouvernement que les syndicats

01.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

02.

Grève du 5 décembre : COUP DE STUPÉFACTION !

03.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

04.

Retraite : la grève va tuer le projet du gouvernement mais faire la fortune des plans d’épargne par capitalisation

05.

PISA : l’école primaire, cette machine à fabriquer de l’échec

06.

Pourquoi les seniors doivent absolument se préoccuper d’ingérer suffisamment de vitamine K

01.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

02.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

03.

Abus de droit ? Le CSA de plus en plus contestable

04.

Egalité (mais juste pour moi) ! Les Français sont-ils les pires tartuffes qui soient en matière d’aspiration à la justice sociale ?

05.

Grèves : où va le conflit ? Les clés pour se laisser aller à faire de petites prédictions

06.

Grève du 5 décembre : COUP DE STUPÉFACTION !

ça vient d'être publié
décryptage > Media
L'art de la punchline

Un 9 décembre en tweets : Jean-Sébastien Ferjou en 280 caractères

il y a 1 heure 15 min
light > Culture
Principe de précaution pour Disney
Le prochain opus de la saga Star Wars présenterait des risques d’épilepsie
il y a 2 heures 44 min
pépites > Politique
Crise
Levallois-Perret : Sylvie Ramond, adjointe de Patrick Balkany, démissionne de la majorité municipale
il y a 4 heures 8 min
décryptage > Culture
Atlanti Culture

"Soyez gentils" de George Saunders : un discours à contre-courant bien réconfortant

il y a 6 heures 21 min
décryptage > Culture
Atlanti Culture

"Rouge impératrice" de Léonora Miano : au XXIIème siècle, une Afrique pacifiée et prospère accueille des “Sinistrés”, descendants des colons européens

il y a 6 heures 41 min
pépite vidéo > International
Images impressionnantes
Nouvelle-Zélande : lourd bilan après l'éruption du volcan de White Island
il y a 7 heures 56 min
décryptage > International
CCG

Sables mouvants dans le Golfe : le dernier sursaut du Roi Salmane pour la paix

il y a 9 heures 30 min
décryptage > Environnement
Convergences

Retraites : l’heure de la divagation des luttes a sonné

il y a 10 heures 13 min
décryptage > Economie
Complexité

Fraude massive à la TVA dans le e-commerce : pourquoi il est urgent de simplifier notre système fiscal

il y a 11 heures 20 min
décryptage > France
SOS productivité

L’efficacité des organisations : grande oubliée de la réflexion en matière de politiques publiques et privées

il y a 11 heures 44 min
pépites > Social
Mobilisation en baisse
Retraites : 339.000 personnes ont défilé dans toute la France en ce mardi 10 décembre, 885.000 selon les syndicats
il y a 2 heures 9 min
pépites > Politique
Grand oral
Edouard Philippe prévient qu'il n'y aura "pas d'annonces magiques" sur la réforme des retraites
il y a 3 heures 24 min
pépite vidéo > France
Heures de pointe
Grève SNCF - RATP : les images des quais bondés et de la tension entre les usagers à Gare du Nord notamment
il y a 4 heures 57 min
décryptage > Culture
Atlanti Culture

"Nous pour un moment" de Arne Lygre : une vingtaine de personnages se croisent dans six séquences enchaînées dans lesquelles les acteurs inversent les rôles qu’ils jouent

il y a 6 heures 28 min
light > France
Réseaux sociaux
L'incendie de la cathédrale Notre-Dame de Paris a été l'événement le plus commenté de l'année sur Twitter
il y a 7 heures 3 min
pépites > Social
Syndicats vs gouvernement
"Mardi noir" à la veille de la présentation du projet de réformes des retraites
il y a 8 heures 38 min
décryptage > Social
Sauver les retraites, oui. Mais lesquelles…?

Mais qui croit encore que la France dispose du meilleur système de retraites au monde ?

il y a 9 heures 52 min
décryptage > Science
Parker Solar Probe

Jamais une mission spatiale ne s’était autant approchée du soleil. Voilà ce que la Nasa en a appris

il y a 11 heures 4 min
décryptage > Religion
Allah, des sous !

Imam, c'est pas un métier... Et c'est bien pour ça qu'ils sont si rares

il y a 11 heures 34 min
décryptage > Economie
Vers des guerres commerciales sans issue ?

OMC : le système d’arbitrage des conflits commerciaux poussé à la panne sèche par les Etats-Unis

il y a 11 heures 54 min
© Reuters
© Reuters
Risques de piratages

Risques de piratages : ces 146 failles pré-installées sur les smartphones Android

Publié le 18 novembre 2019
Les dizaines de nouvelles vulnérabilités au « firmware », réparties sur 29 fabricants de smartphones Android, montrent à quel point ces appareils dernier cri sont en réalité peu sûrs.
Franck DeCloquement est praticien et expert en intelligence économique et stratégique (IES). Membre fondateur du Cercle K2 et ancien de l’Ecole de Guerre Economique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Franck DeCloquement
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Franck DeCloquement est praticien et expert en intelligence économique et stratégique (IES). Membre fondateur du Cercle K2 et ancien de l’Ecole de Guerre Economique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Les dizaines de nouvelles vulnérabilités au « firmware », réparties sur 29 fabricants de smartphones Android, montrent à quel point ces appareils dernier cri sont en réalité peu sûrs.

Atlantico : La société de sécurité « Kriptoware » annonce avoir découvert 146 vulnérabilités préinstallées potentiellement préjudiciables sur les téléphones fonctionnant sous Android. Quels peuvent-en être les risques ?

Franck DeCloquement : Les chercheurs de la société Kryptowire ont par exemple identifié le Galaxy S7 comme l'un des smartphones intégrant le plus de ces failles potentielles. Samsung conteste pourtant leur gravité. Bien connu des spécialistes, la sécurité de l’écosystème digital des appareils tournant sous Android – le système d'exploitation mobile fondé sur le noyau Linux, développé par Google et lancé en 2007 – a toujours été assez compliquée à garantir. D’autant plus, depuis que les experts spécialisés se penchent sur les « firmwares ». Lorsque l’on acquière un nouveau smartphone, on doit souvent compter avec la multitude d’applications préinstallées sur nos appareils. Et selon un rapport publié le 16 novembre dernier par la société d’expertise Kryptowire, une entreprise spécialisée en sécurité informatique, ces applications seraient aussi des nids à failles de sécurité. 146 failles de ce type auraient en effet été découvertes dans les firmwares d’au moins 33 fabricants de smartphones selon le magazine Wired. 

Mais qu’est-ce au juste qu’un « firmwares » ? Dans un système informatique, un « firmware » (ou micro-logiciel, microcode, logiciel interne, logiciel embarqué, ou encore microprogramme), est en réalité un programme intégré dans un matériel informatique (ordinateur, photocopieur, disque dur, routeur, automate API, APS, appareil de photo numérique, etc.) pour qu'il puisse fonctionner. Le « firmware » permet donc à un matériel informatique d’évoluer – via des mises à jour – et d'intégrer dans le temps de nouvelles fonctionnalités, sans avoir pour cela besoin de revoir complètement le design du hardware.  

Pléthores de ces vulnérabilités ont été retrouvées chez les fournisseurs d’appareils téléphoniques qui sont aussi, très souvent, d’obscures marques asiatiques… Mais également – et c’est beaucoup plus préoccupant – chez des acteurs institutionnels beaucoup plus connus du secteur de la téléphonie mobile, à l’image de Samsung, Asus, ou Xiaomi. Chez ces trois derniers opérateurs, les failles sont mêmes présentes en très grand nombre. Et selon Kryptowire, 33, 26 et 15 vulnérabilités auraient d’ailleurs été respectivement retrouvées chez eux. L’affaire est donc sérieuse. Parmi les 146 failles détectées, on découvre un peu de tout : des chargements de code à la volée, des exécutions de commandes, des installations d’applications, des enregistrements sauvages de voix/vidéo, des modifications de paramètres systèmes ou réseau. Pour les déceler, la société d’expertise « Kryptowire » s’est appuyée sur une plateforme qui scanne les firmwares de manière automatisée. Elle est non seulement capable de détecter les failles, mais aussi de fournir les éléments techniques pour quérir techniquement la preuve manifeste de celles-ci. Ce qui facilite aussi grandement les analystes quant à  la création d’exploits.

A l'heure ou sonnent partout dans les médias, le tocsin des augures sombres de la guerre digitale, comment se protéger de ce type d’actions malveillantes potentielles ?

Franck DeCloquement : Ce risque est toujours à gérer avec finesse. Ce dernier rapport montre que dans tous les cas de figure, les « firmwares » des différentes marques sont le nouveau talon d’Achille des fournisseurs de smartphones fonctionnant sous Android. Ceux-ci agrègent dans leurs surcouches une pléthore d’applications dont certaines proviennent très souvent en droite ligne d’éditeurs tiers. Mais la qualité logicielle intrinsèque de ces applications n’est visiblement pas assez testée par les laboratoires des marques, ou très peu mise à l’épreuve. 

Ce n’est toutefois pas la première fois que ce problème est en outre soulevé par les experts du secteur. Il s’agit même d’une sorte de « marronnier » que l’on retrouve périodiquement dans la presse informatique spécialisée. En août 2018, Kryptowire avait déjà publié une liste de 38 failles découvertes dans 25 smartphones de marques. En avril 2019, un groupe de chercheurs avait aussi publié les résultats d’une analyse de 82 501 applications préinstallées, avec un résultat plutôt calamiteux in fine. Cette problématique persiste également sur les écrans radars de la firme Google, qui passe très régulièrement les firmwares de ses partenaires au peigne fin depuis 2017. Mais visiblement, pour un résultat opérationnel très suffisant.

Pour les firmes impliquées telles que Samsung ou Asus, quels sont les dangers liés à la persistance de ces vulnérabilités ?

Franck DeCloquement : Résumons : enregistrer vos conversations, modifier les réglages de votre téléphone à votre insu, installer des applications malveillantes sans votre accord pour exécuter des commandes cachées, toutes ces opérations peuvent être ainsi concrètement mises en œuvre sur votre smartphone Android. Et ceci, avant même que vous le sortiez de son emballage. Les vulnérabilités détectées concernent pour l’essentiel la modification de certaines propriétés système et l’installation d’application. Mais pour pour 5,5 % d’entre elles, l’enregistrement audio également... Certaines d’entre elles ne sont pas directement accessibles, mais d’autres sont en revanche explorables à partir d’une application téléchargée du Play Store.

Interrogée par Wired, la firme Samsung conteste vivement les conclusions de Kryptowire. D’après le fournisseur sud-coréen, les 33 failles mises en avant dans le rapport ne pourraient pas être exploitées, grâce au cadre de sécurité d’Android. Les experts de la Kryptowire de leur côté ne sont pas d'accord : l’entreprise d’expertise estime que leur exploitation est bel et bien réalisable et parfaitement exécutable en l’état. Dans le cadre d’une d’infection virale ou d’une application malveillante, l’utilisateur pourrait intervenir. Mais comme l’a récemment indiqué le PDG de « Kryptowire » dans la presse, Angelos Stavrou, la situation est bien plus problématique et scabreuse lorsqu’il s’agit d’une application préinstallée : « Si le problème se situe à l’intérieur de l’appareil, cela signifie que l’utilisateur n’a pas d’options. Parce que le code est profondément enfoui dans le système lui-même. Et l’utilisateur ne peut rien faire pour supprimer la fonctionnalité en question. » Samsung a averti les fabricants concernés qui décideront de fournir une mise à jour… Ou pas.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

02.

Jamais une mission spatiale ne s’était autant approchée du soleil. Voilà ce que la Nasa en a appris

03.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

04.

Affaire d’espionnage russe en Haute Savoie, qui manipule qui ?

05.

Grève du 5 décembre : COUP DE STUPÉFACTION !

06.

Fraude massive à la TVA dans le e-commerce : pourquoi il est urgent de simplifier notre système fiscal

07.

Retraites : cette spirale infernale qui risque de plomber aussi bien le gouvernement que les syndicats

01.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

02.

Grève du 5 décembre : COUP DE STUPÉFACTION !

03.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

04.

Retraite : la grève va tuer le projet du gouvernement mais faire la fortune des plans d’épargne par capitalisation

05.

PISA : l’école primaire, cette machine à fabriquer de l’échec

06.

Pourquoi les seniors doivent absolument se préoccuper d’ingérer suffisamment de vitamine K

01.

Une grande majorité de l’opinion croit encore que la France est riche et puissante, alors qu‘elle est complètement fauchée !

02.

Quand les masques tombent : et Greta Thunberg assuma au grand jour la réalité de son idéologie

03.

Abus de droit ? Le CSA de plus en plus contestable

04.

Egalité (mais juste pour moi) ! Les Français sont-ils les pires tartuffes qui soient en matière d’aspiration à la justice sociale ?

05.

Grèves : où va le conflit ? Les clés pour se laisser aller à faire de petites prédictions

06.

Grève du 5 décembre : COUP DE STUPÉFACTION !

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires