Complètement sécurisé le Blackphone ? Pas vraiment si l’on en croit SentinelOne, une société spécialisée dans la sécurité informatique, qui s’est penchée sur son cas en août dernier. Elle a alors découvert une faille touchant le modem de l’appareil, conçu par Nvidia Icera, et dans lequel résidait un socket réseau ouvert (qui écoutait) et par lequel pouvait passer un pirate. Ce dernier aurait alors, que ce soit en local ou par le biais d’une application, envoyer ou recevoir des SMS, de fouiller l’historique des communications, ou tout simplement d’espionner une conversation, bref, de violer purement et simplement la confidentialité et la sécurité des données de l’utilisateur.
Une faille qui repose sur l’utilisation de technologies tierces
SentinelOne explique que cette faille repose sur une « erreur » commise par SilentCircle. Elle concerne le choix du modem. On le disait un peu plus haut, pour le BackPhone, SilentCircle a utilisé un modem de chez Nvidia Icera. Une puce qui n’a été que très peu utilisée et dont le code d’exécution (et donc de potentielles failles) n’a été que très peu éprouvé. Conséquence soulignée par SentinelOne, « le nombre croissant de technologies tierces (que cela concerne le matériel, les drivers, les bibliothèques logicielles, etc.) utilisées dans les appareils d’aujourd’hui rendent la détection et la correction de failles plus difficiles que jamais ». En d’autres termes, une entreprise qui assure disposer d’appareils sécurisés mais qui utilise des technologies tierces pour leur conception s’expose à des failles de sécurité qu’elle ne pourra pas forcément contrôler. C’est exactement ce qu’il s’est passé avec cette faille : SilentCircle s’est ainsi retrouvé avec non seulement un socket ouvert aux commandes extérieures, mais aussi mal protégé et pouvant être exploité.
Le BlackPhone 2 épargné
C’est d’autant plus gênant pour SilentCircle que la société suisse se vante de proposer des smartphones Android ultra-sécurisés à destination des entreprises et des gouvernements. Certes, cette faille n’était pas simple à trouver, mais étant donné le public à qui s’adresse le BlackPhone, un groupe de pirate motivé ou supporté par un État aurait tout à fait pu déceler la faille. Une faille corrigée depuis le mois suite à une mise à jour (la version 1.1.13 RC3) mais qui, heureusement, ne concerne pas le BlackPhone 2, sortie l’année dernière.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Ah parce que il y avait des personnes qui croyaient sincèrement a la sécurité des blackphone lol ?
ils passent vraiment pour des branquignols ! Autant prendre un BB sous BB os !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix