C’est un bulletin de sécurité particulièrement étoffé que vient de présenter Google, le 2 mars. Pour ce mois-ci, l’entreprise californienne annonce des correctifs pour un total de 71 vulnérabilités, dont la majorité concerne des failles du haut du spectre, c’est-à-dire sérieuses ou critiques. En effet, seules 3 failles sont considérées comme moyennement dangereuses par la firme de Mountain View.
Ce bulletin de sécurité mensuel dédié à Android pourrait en réalité être renommé au nom de Qualcomm, tant l’équipementier américain est mentionné. On trouve en effet son nom dans 48 des 71 problèmes relevés. La forte présence de Qualcomm n’est en fait pas une surprise, puisqu’il fournit de nombreux composants à l’industrie du smartphone, comme des systèmes sur puce et des modems.
Il est aussi fait mention de six vulnérabilités ayant trait au mécanisme de déverrouillage des smartphones par empreinte digitale (FPC Fingerprint TEE), qui est fourni par la société suédoise Fingerprints. « La vulnérabilité la plus grave pourrait permettre à une application malveillante locale de contourner les exigences d’interaction de l’utilisateur afin d’accéder à des autorisations supplémentaires », commente Google.
Des failles concernant la connexion USB
Les autres incidents traités par Google et ses partenaires concernent entre autres la connexion USB — un attaquant pourrait exécuter du code malveillant grâce à un appareil piégé, connecté en USB. L’attaque est toutefois difficile, note le groupe, car elle nécessite un accès physique pour réussir. Un souci a aussi été résolu au niveau des mises à jour du système Google Play, dans le cadre du projet Mainline.
Quant à Android lui-même, les vulnérabilités portent sur les version 8 à 10 du système d’exploitation et peuvent aboutir à une atteinte à la confidentialité des données, à une élévation de privilèges, qui permet à un assaillant de rentrer dans des sections normalement protégées, ou encore au déclenchement d’un code malveillant à distance pour altérer le smartphone.
Pour classer les failles selon leur niveau de gravité, l’entreprise américaine se fonde sur « l’effet que l’exploitation de la vulnérabilité pourrait avoir ». Dans les paramètres dont elle tient compte, on trouve les mesures d’atténuation, si elles existent, la manière dont une attaque est conduite, sa complexité, la nécessité d’avoir un accès facilité ou de pousser la victime à réaliser une action bien précise.
Google rappelle qu’il prévient systématiquement ses partenaires industriels avec plusieurs semaines d’avance avant la publication de ce bulletin, afin qu’ils aient le temps de prendre les mesures adéquates. Dans les faits cependant, il faut parfois attendre des semaines ou des mois afin qu’un correctif ne soit mis à disposition du public. Cela dépend en effet de la politique de chaque fabricant de smartphones.
Le détail du bulletin est consultable à cette adresse.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !