Attention, un simple MMS suffit pour pirater votre smartphone Android

Une faille de sécurité qui touche… 950 millions de smartphones Android dans le monde. Selon le chercheur en sécurité Joshua Drake, l'envoi d'un simple MMS (Multimedia Message Service, message contenant des données graphiques, vidéos ou sonores) pourrait permettre à un ou des pirates de prendre la main sur quasiment n'importe quel téléphone mobile tournant sous le système d'exploitation Android de Google. 95 % des appareils seraient concernés (plus précisément Android à partir de la version 2.2 jusqu’à la dernière, Android 5.1 Lolliop).

► Un bug connu depuis des mois
Dans un article du magazine Forbes , le chercheur - membre du cabinet de sécurité américain Zimperium zLabs - explique qu'une énorme faille de sécurité Android permet de très facilement lancer une attaque de grande envergure. Il y a quelques mois, en avril, ces vulnérabilités avaient été mises au jour mais Joshua Drake estime que la plupart des fabricants n'ont déployé de correctif pour protéger les téléphones de leurs clients. "Tous les appareils devraient être considérés comme vulnérables", explique le chercheur à Forbes.

► Stagrefright, le lecteur média dans le viseur
Concrètement, comment un simple MMS pourrait infecter un smartphone ? C'est la bibliothèque multimédia Stagefright, utilisée pour la lecture de fichiers multimédia sur les smartphones et tablettes Android, qui pose problème. Les pirates seraient capables, via un message multimédia malveillant envoyé puis lu par Staefright, d'exécuter du code informatique à distance et de récupérer des données personnelles. Pire que tout, l'intrusion peut ne jamais être constatée car les pirates sont capables de supprimer le MMS envoyé furtivement avant même que le propriétaire du téléphone ne constate sa réception.

► Activation du micro, lecture des mails, ouverture de fichiers…
Une fois le code malveillant installé sur le téléphone, celui-ci est à la merci des pirates. Ils peuvent aussi bien lire des fichiers, consulter les mails, avoir accès aux données personnelles, visionner les photos stockées sur une carte SD et même activer le microphone et la caméra du smartphone pour écouter et voir ce qui se passe et se dit à proximité de l'appareil. Même le Bluetooth pourrait être hacké. Assez terrifiant.

► Aux fabricants de déployer un correctif
Hélas, pour l'heure, les propriétaires de smartphone Android ne peuvent rien y faire. Google a rapidement modifié le code source d'Android afin de corriger ce bug mais il incombe aux fabricants d'intégrer ensuite ce correctif dans leur version modifiée d'Android (chaque marque propose sa surcouche personnelle) et de le déployer sur l'ensemble des appareils. Difficile quand le parc est composé de nombreuses versions différentes du système d'exploitation… Et pourtant, il faut faire vite : les 5 et 7 août prochain, deux conférences majeures réunissant des hackers et des experts en sécurité informatique (Black Hat et DEF CON) seront l'occasion de dévoiler en détail le fonctionnement de cette faille de sécurité… et sans doute d'attirer une foule de pirate malintentionnée. Le compte à rebours a commencé.

EN SAVOIR +
>>  Pourquoi Google ne corrige pas une faille de sécurité qui touche 60 % des utilisateurs d'Android
>>  Android : une faille de sécurité touche 99 % des smartphones
>>  Faille Zero Day : attention danger si vous utilisez Internet Explorer