Cybersécurité : De nouvelles failles liées à Stagefright découvertes dans Android

Deux nouvelles vulnérabilités majeures ont été mises au jour le 1er octobre dans le système d'exploitation mobile Android. Elles l'ont été par Zimperium zLabs, le cabinet de sécurité informatique qui avait déjà découvert l'existence de failles – baptisées Stagefright – touchant l'intégralité des appareils Android en circulation en avril dernier.

Ces deux vulnérabilités viennent s'ajouter aux premières, qui n'ont pas été complètement résolues pour le moment, et menacent au total plus d'un milliard de smartphones et tablettes. Elles permettent à un attaquant de compromettre un appareil par la simple prévisualisation d'un fichier audio (MP3) ou vidéo (MP4) inclus dans un site web ou une application tierce. Le premier bug touche les versions d'Android remontant jusqu'à la 1.0, tandis que le second peut être utilisé pour attaquer jusqu'aux toutes dernières versions de l'OS.

Une faiblesse inhérente à Android

La faiblesse d'Android face à ces failles de sécurité, comparé à d'autres systèmes d'exploitation comme Windows ou iOS, est liée à la nécessité d'adapter chaque mise à jour à chaque variété d'appareil qui l'utilise. Ainsi, un fabricant ayant 20 produits sous Android devra d'abord attendre un patch correctif de la part de Google, puis l'adapter à chacun de ses appareils, puis le transmettre à chaque opérateur mobile les utilisant pour qu'ils l'adaptent à leur tour avant de le transmettre enfin aux utilisateurs. La diversité d'Android rend quasiment impossible la sécurisation de l'ensemble du parc d'appareils dans ces conditions.

Zimperium zLabs a indiqué avoir averti Google de ces failles le 15 août. La firme de Mountain View a rapidement préparé un patch correctif, dont elle a communiqué les détails aux constructeurs de smartphones le 10 septembre. Google, qui essaie de donner l'exemple aux autres fabricants, a indiqué qu'il patchera ses téléphones Nexus le 5 octobre.