La faille touche tous les smartphones Android fonctionnant avec un noyau inférieur à la version 3.18 c’est à dire la majorité des terminaux en circulation.
Votre smartphone Android va bientôt recevoir une mise à jour importante et si vous êtes du genre à tout repousser à demain, il va falloir être un peu plus proactif ce coup-ci. Estampillée d’un nom oscillant entre celui d’un astéroïde et d’une maladie vénérienne, CVE-2015-1805 est une vulnérabilité critique qui permettrait à une application de rooter les terminaux fonctionnant avec des noyaux inférieurs à 3.18, comme le rapporte nos confrères de The Register cités par le blogueur Korben.
Faille critique
Rooter, noyau, 3.18, tout ça ne vous dit rien ? En clair, on parle ici de millions de terminaux vulnérables, notamment – et c’est un comble – les Nexus 5 et Nexus 6, smartphones Android « de référence » de Google. La faille n’est pas anodine puisqu’elle peut entraîner le root du terminal à votre insu. Cette manipulation que les bidouilleurs connaissent bien, consiste à acquérir les privilèges administrateur, et faire ainsi sauter les protections fondamentales d’Android.
Si les bidouilleurs « rootent » leur téléphone pour installer une version maison d’Android, changer des drivers, supprimer les applications tierces, etc. les pirates eux, peuvent prendre le contrôle de votre appareil. Avec tout ce que cela implique.
Ménage sur le Play Store
Le communiqué de Google ne donne pas de noms d’applications malveillantes qui profitent de cette faille, se contentant d’affirmer que le système de vérification des apps (Verify App) a été mis à jour et les logiciels incriminés retirés du Play Store. Un ménage bienvenu mais qui ne protège peut-être pas de futures failles.
Android 6 ne vous protège pas
Quand on parle d’Android, on oublie bien souvent que ce lui-ci fonctionne avec un noyau Linux – l’élément incriminé dans le cas présent.
Or, Android n’est pas le noyau Linux, c’est à dire que même si votre smartphone est équipé de la dernière version Android 6 Marshmallow, le noyau Linux n’est peut-être pas, lui, à jour. Dans le cas de notre LG G4 de référence, on voit bien sur la capture d’écran ci-dessous que s’il dispose bien de la version 6 d’Android, le noyau est en version 3.10, donc clairement vulnérable.
On attend donc que les constructeurs de smartphones poussent la mise à jour du noyau sur les terminaux existant. Mais vu le fractionnement d’Android et le nombre de terminaux incriminés, rien n’est moins sûr.
Google va donc devoir redoubler de vigilance sur le Play Store afin que ce genre de faille ne se reproduise pas.
Telephone: 06.25.37.63.80
Fax: N/C
Email: Contact@Corse-Informatique.Com