950 millions de téléphones Android menacés de piratage

Selon une société informatique américaine, 95% des portables fonctionnant sous Android sont menacés par une faille d'une simplicité redoutable. Il suffit de se servir de vidéos comme cheval de Troie et d'envoyer les fichiers contaminés par MMS.

(Android a été racheté par Google en 2005 © MaxPPP)

Un numéro de téléphone portable et un seul MMS : c’est ce qu’il suffirait pour pirater un mobile fonctionnant sous Android. Une nouvelle faille vient d’être découverte au cœur même du système, et elle concerne 95% des utilisateurs d’Android. C’est Joshua Drake, un chercheur en sécurité mobile de la société informatique Zimperium, qui l’a mise au jour. 

A l’origine du problème : le pré-téléchargement des vidéos envoyées par MMS. Car lorsque vous recevez une vidéo par message, elle se transfère toute seule, en amont, pour vous éviter de patienter. Les personnes mal intentionnées n’ont plus qu’à cacher un logiciel malveillant dans la vidéo et le tour est joué. 

Captation de données, espionnage, piratage de webcam… Votre portable est à leur merci sans même que vous ne vous en aperceviez. Et la situation est pire si vous utilisez Hanghout, l'application messagerie de Google : le logiciel espion, s’installe sans même que vous n’ayez besoin d’ouvrir le MMS.

Des mises à jours longues voire impossibles

Pour l’instant, il ne semble pas que cette faille ait été exploitée. Google a fourni des "patchs" de sécurité. Le problème : ce n’est pas lui qui contrôle les mises à jour Android, mais les fabricants de téléphones, voire les opérateurs. Elles risquent de prendre beaucoup de temps à être mises en place. Zimperium, précise même que les portables de plus de 18 mois pourraient ne jamais en bénéficier. 

Une solution en attendant : désactiver le téléchargement automatique des MMS dans les réglages du téléphone. Cette fonctionnalité qui s'appelle "Stagefright " symbolise désormais ce "bug "

(Décocher le téléchargement automatique des MMS peut permettre d'éviter un piratage © Capture d'écran de mobile)

La faille, elle, sera présentée plus en détail le 5 août, lors de la Black Hat, et le 7 août lors de la DEFCOM, deux convention de Hackers, aux Etats-Unis.