Vous l’avez peut-être lu ces jours-ci dans la presse anglophone ou francophone : à cause d’un défaut de conception dans l’application Google Caméra, une personne mal intentionnée « pourrait détourner votre appareil photo Android pour vous espionner ». C’est l’entreprise israélienne Checkmarx, spécialisée dans la sécurité des logiciels, qui l’affirme dans une publication datée du 19 novembre.
Alors, est-ce que vous devez dès à présent mettre un bout de ruban adhésif au recto et au verso de smartphone, afin d’éviter un mésusage de l’une des deux caméras ? En réalité, il n’y a pas nécessairement lieu de s’alarmer : il faut savoir que la faille en cause avait été repérée dès cet été et qu’un correctif de sécurité a depuis été conçu et mis à disposition des terminaux affectés.
Mais alors, pourquoi en parle-t-on maintenant ?
Vérification et correction
Trois éléments de réponse peuvent être apportés. D’abord, il s’agissait de corriger une faille qui aurait pu être effectivement exploitée à des fins malveillantes. Selon Checkmarx, il a été constaté la possibilité de « contrôler l’application pour prendre des photos et/ou enregistrer des vidéos via une application malhonnête qui n’a pas les permissions de le faire ».
Pour cela, des échanges entre Checkmarx et Google ont eu lieu tout au long du mois de juillet. La trouvaille de l’entreprise a été jugée sérieuse par la firme de Mountain View, car elle a non seulement validé le signalement, mais elle l’a en plus classifié au rang d’alerte « modérée » puis « élevée ». Les discussions ont aussi permis d’établir que la faille affectait divers modèles de smartphones.
Du côté de Google, la vulnérabilité a pu être observée dans les Pixel 2 XL et Pixel 3. Chez la concurrence, Checkmarx suspectait que le défaut existe sur d’autres terminaux — cette supposition a été confirmée début août par Google. Dans les semaines qui ont suivi, plusieurs d’entre eux (non nommés) ont été prévenus de l’existence du problème. Parmi eux, seul Samsung a confirmé être touché.
Feu vert des constructeurs
Ensuite, une fois la réalité de la brèche constatée et le patch déployé (selon un porte-parole de Google, « le souci a été traité sur les appareils Google impactés via une mise à jour de l’application Google Caméra sur le Play Store en juillet 2019. Un patch a également été mis à la disposition de tous les partenaires »), Checkmarx a attendu l’approbation de Google et de Samsung pour publier son récit.
Ce feu vert est survenu en novembre 2019, soit près de cinq mois après la soumission du bug à Google. Un délai long, qui peut se comprendre au regard du délai nécessaire pour analyser les allégations de Checkmarx, évaluer la dangerosité pour le public, développer et valider un patch et lui laisser assez de temps pour qu’il soit déployé sur le plus grand nombre d’appareils possible.
Respect des bonnes pratiques
Quant a à la dernière raison, qui est liée aux deux précédentes, il s’agissait sans doute de respecter les bonnes pratiques en matière de sécurité informatique. Ainsi, dans le cadre de la divulgation responsable, les entreprises dont les produits et services ont été auscultés sont contactées en privé et bénéficient d’un délai pour apporter les corrections adéquates, avant que l’information ne devienne publique.
Ce délai est variable : il dépend essentiellement de la criticité de la découverte. Les sociétés de sécurité informatique sont fortement incitées à respecter ce cadre, d’autant qu’il y a des entreprises qui versent des récompenses en échange, si les procédures ont été respectées à la lettre. Google propose un tel programme. Mais l’histoire ne dit pas si Checkmarx a bénéficié d’une récompense de ce type.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !