Un logiciel malveillant menace 950 millions de smartphones

Un chercheur américain vient de mettre en évidence une faille dans le système d'exploitation des tablettes ou smartphones opérant sous Android. Près d'un milliard d'appareils sont potentiellement concernés.

Un simple SMS ou un message contenant un média graphique, sonore ou vidéo (MMS) et c'en est fait des données personnelles stockées sur les smartphones ou tablettes opérant sous Android%u2026 Aux dires des chercheurs en sécurité américains de l'entreprise Zimperium, la faille détectée dans le code source d'Android Open Source Project (AOSP) menacerait près d'un milliard d'appareils, soit 95 % des mobiles en circulation.

Le site NPR. org précise que la faille est encore plus grave si l'utilisateur utilise par défaut l'application Hangouts, qui traite la vidéo automatiquement sans que l'utilisateur n'ait besoin d'ouvrir le MMS. «N'importe qui peut être ciblé par ce type d'attaque, confirme Zimperium. Le plus dangereux, c'est que l'attaquant est capable d'effacer le MMS avant même que l'utilisateur ne le voie».

Une fois installé, ce qui est qualifié de «pire logiciel malveillant des systèmes d'exploitation» peut créer un «cheval de Troie» et prendre à distance, le contrôle total du smartphone : s'emparer de ses données, espionner son activité, activer la webcam, le micro, consulter les mails, etc.

Le site français Frandroid.com précise que «la faille a été trouvée dans la bibliothèque multimédia Stagefright utilisée pour la lecture de fichiers multimédia» et que «cette bibliothèque qui a été développée en C ++ et non en Java, explique la gravité de la faille».

Joshua J. Drake, le chercheur de Zimperium à l'origine de la découverte, a partagé les informations avec Google, qui a modifié le code source d'AOSP en moins de 48 heures pour proposer un correctif. Reste à faire parvenir ce patch à l'ensemble des constructeurs de smartphones et tablettes pour autoriser les mises à jour. Et, de ce côté-là, ce n'est pas gagné vu le nombre d'appareils concernés. Il faudra néanmoins aller vite, davantage de détails sur le fonctionnement de cette faille et d'autres devraient être dévoilés lors de la conférence Black Hat le 5 août prochain à Las Vegas.

Seule bonne nouvelle, les hackers potentiels ne sont, a priori, pas encore passé à l'attaque. Et les terminaux Android antérieurs à la version 2.2 ne sont pas concernés. Tous les autres, jusqu'à la version Android 5.x Lolliop sont vulnérables. Et ça fait du monde !

En attendant d'installer un correctif, les possesseurs de smartphone Android peuvent se prémunir partiellement des attaques en modifiant les réglages de leurs terminaux. Il faut se rendre dans «SMS/MMS», puis sélectionner «menu», «paramètres» pour désactiver «l'extraction ou la récupération automatique» des MMS. On peut aussi rendre impossible la réception de MMS dans les «paramètres de stockage».

On peut également désactiver Hangout dans les paramètres généraux en allant dans l'onglet «application de messagerie par défaut» et en sélectionnant «messagerie»