Cette grave faille d’Android menace des millions de personnes dans le monde

Les particuliers se retrouvent souvent démunis lorsque des pirates informatiques décident de s’en prendre à une organisation. Par exemple, les possesseurs d’iPhone ne peuvent compter sur la réactivité d’Apple en cas de vulnérabilité exploitée par des hackers sur iOS. La marque à la pomme a justement déployé les mises à jour iOS 16.7.15 et iOS 15.8.7 pour les protéger du kit de piratage Coruna.

Cette fois, ce sont les possesseurs de smartphones Android qui peuvent s’inquiéter. Pas moins d’un quart d’entre eux sont menacés par une vulnérabilité dans les puces MediaTek.

Une vulnérabilité des puces MediaTek affecte 25 % des smartphones Android du marché

Les hackeurs éthiques de Ledger ont fait une découverte plus qu’inquiétante alors qu’ils recherchaient simplement une faille dans les portefeuilles de cryptomonnaies des concurrents. Une vulnérabilité critique affecte les puces MediaTek, qui équipent des centaines de millions de smartphones, de tablettes et de téléviseurs dans le monde. Cette faille dans la chaîne de démarrage affecterait environ 25 % des téléphones Android du marché.

La puce MediaTek gère notamment le démarrage d’un smartphone. Les spécialistes expliquent qu’une perturbation électrique à un instant précis du processus permet de court-circuiter les vérifications de sécurité et d’exécuter du code non autorisé. La récupération du code PIN du téléphone et le décryptage de sa mémoire deviennent alors possibles.

« On peut extraire tout ce qui se trouve sur votre téléphone, même éteint », ajoute même Charles Guillemet, directeur technique de Ledger. Il tire la sonnette d’alarme concernant la faible protection des équipements intégrés aux smartphones.

« Cette étude confirme ce que nous dénonçons depuis longtemps : les smartphones n’ont jamais été conçus pour être des coffres-forts. Bien que cela puisse être corrigé, et nous encourageons tous les utilisateurs à effectuer les dernières mises à jour de sécurité fournies par MediaTek et les fabricants de téléphones, cela montre la difficulté de stocker des secrets sur des appareils non sécurisés. Si votre cryptographie se trouve sur un téléphone, elle n’est aussi sûre que le maillon le plus faible du matériel, du micrologiciel ou du logiciel de ce téléphone. » déclare Charles Guillemet.

Les comptes bancaires sont-ils protégés ?

La vulnérabilité permet également l’extraction des phrases de récupération des portefeuilles pour ensuite le vider de ses devises. Cependant, le processus nécessite de se connecter en USB au téléphone.

« C’est typiquement le genre de capacité qui intéresse des groupes affiliés à des États, qui n’hésitent pas à compromettre des chargeurs USB publics, notamment dans les hôtels », assure Charles Guillemet. Toutefois, les comptes bancaires sont relativement à l’abri étant donné qu’une authentification supplémentaire est souvent exigée par les banques.

En tant que particulier, vous ne pouvez pas faire grand-chose pour vous prémunir d’une cyberattaque. Ledger s’est chargé d’alerter MediaTek quant à cette faille. Charles Guillemet estime qu’un correctif peut résoudre le problème, mais qu’il est peu probable qu’il soit déployé sur tous les appareils vulnérables.