Les utilisateurs des mobiles Android attendent avec impatience le déploiement du correctif de Stagefright de la part des fabricants de leurs appareils ou leurs opérateurs. Pourtant, on n’est plus sûr que cet outil puisse leur mettre à l’abri des pirates voulant exploiter cette vulnérabilité. Une importante faille vient en effet d’être découverte sur des patchs qui y sont liés. Explication.
Une faille dans un correctif
Stagefright menace depuis quelque temps plus de 90% des appareils mobiles sous Android. Et il se peut qu’il ne puisse pas être corrigé par les mises à jour dont le déploiement a déjà commencé. Le soulagement n’était donc que passagère pour les utilisateurs. Comment ne pas être pris de peur avec une vulnérabilité donnant à des cybercriminels la possibilité de prendre le contrôle de son appareil et de mettre la main sur diverses données personnelles ? Google a tenu à rassurer les détenteurs des appareils sous son OS lors de la conférence Blackhat en annonçant un déploiement rapide de mises à jour par les constructeurs. Celles-ci sont fondées sur des patchs créés par celui à qui on doit la découverte de cette faille, Hoshua Drake. Une récente recherche menée par Jordan Gruskonjak, un expert en sécurité de chez Exodus Intelligence, a malheureusement permis de trouver une vulnérabilité sur l’un des patchs.
Il faut donc reconnaître que le correctif déployé actuellement ne permettra pas de protéger les appareils Android des attaques des hackers sachant exploiter Stagefright, et ce, malgré que l’application de détection de la faille annonce le contraire. On n’attend désormais le déploiement d’un nouveau patch par MountainValley, ayant déjà été informé du problème par la société spécialisée dans la sécurité. Le géant du Web a même déjà donné un nom à ce bug via l’outil de suivi du code : CVE-2015-3864.
La menace persiste
Joshua Drake est également au courant du problème et n’a pas tardé à réagir pour trouver une solution. Il travaille actuellement sur une mise à jour permettant d’éviter une annonce par Stagefright Detector disant qu’un appareil n’est plus vulnérable. Il se peut que suite à cette nouvelle, l’homme qui a découvert Stagefright, abandonne son projet de dévoiler, le 24 août prochain, des utilisations publiques de la vulnérabilité.
Tous les appareils Android sont-ils donc exposés à la menace ? Pas tout à fait. Les terminaux dotés de la ROM CyanogenMod sont hors du danger depuis la nuit du 13 août dernier. Les autres ne pourront se trouver à l’abri du danger qu’après l’intégration par Google du patch à AOS et la réactualisation par les constructeurs de leur version d’Android. Le délai d’attente risque donc d’être encore long pour les utilisateurs impatients d’oublier cette période de peur et d’inquiétude. Il pourra cependant être plus court si les fabricants ne passent pas par l’étape de validation par les opérateurs. On n’est cependant pas sûr que ceux-ci puissent aller à l’encontre de leurs politiques habituelles de mises à jour de sécurité. On en aura la confirmation dans nos prochaines éditions.