Mauvaise nouvelle pour les clients de Samsung. Le centre américain de réponse d’urgence aux menaces sur la sécurité informatique (US-CERT) a publié une mise en garde suite à la découverte d’une vulnérabilité affectant la fonctionnalité « Find My Mobile » (« Localiser mon téléphone »), qui permet de savoir où se trouve un téléphone perdu ou volé, mais aussi de supprimer à distance les données qu’il contient.
La brèche, qui n’a pas encore été signalée par le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), obtient des notes de criticité élevées (10/10 pour l’exploitabilité et 6,9/10 pour l’impact) chez l’organisme américain. Elle permet d’entraîner des interruptions de service et ne nécessite pas d’être authentifié. En outre, elle est jugée peu complexe à mettre en œuvre.
Selon les explications de l’US-CERT, la fonctionnalité proposée par Samsung ne vérifie pas la provenance et la légitimité des informations transitant entre le service Find My Mobile et le terminal de l’usager. Résultat, il serait plus simple pour un attaquant à distance de causer un déni de service en déclenchant un trafic excessif lors de la procédure de géolocalisation du mobile.
Il s’agit d’une faille de type CSRF (Cross-Site Request Forgery). Son existence a été repérée par un spécialiste en sécurité égyptien qui a présenté sa trouvaille dans deux vidéos publiées sur YouTube (et qui sont citées sur le site de l’US-CERT)
L’une d’entre elles montre en particulier comment l’attaque fonctionne en bloquant son terminal avec un message personnalisé sur l’écran de verrouillage. La vidéo montre également que d’autres actions peuvent être effectuées à distance, comme le déverrouillage du mobile ou le déclenchement de la sonnerie.
https://youtube.com/watch?v=YufuOYQoDOY%3Frel%3D0%26showinfo%3D0https%3A
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !