La force du noyau Linux, et ce qui explique que c’est un composant que l’on trouve partout y compris dans l’OS Android, est le fait que son code source soit ouvert. C’est un logiciel partiellement libre qui dépend de centaines de bénévoles, mais aussi de très nombreuses entreprises.
Mais cet avantage d’être open source agit comme une épée à double tranchant lorsqu’il s’agit de vulnérabilités de sécurité non corrigées et évidemment des scénarios dans lesquels ces failles sont exploitables. Bien que de très nombreux acteurs oeuvrent pour la sécurité globale de l’écosystème Linux (qui inclut également Android), de nouvelles vulnérabilités et exploits continuent d’apparaître. L’erreur cette fois semble assez grave, malheureusement.
Une vulnérabilité dans le noyau Linux appelée « Dirty Pipe » met en danger les appareils mobiles exécutant Android 12. Cela a également un impact sur les smartphones tels que la série Pixel 6 et potentiellement les Galaxy S22 également. Le problème affecte les appareils sur Android 12, bien qu’il reste toujours conseillé aux utilisateurs de mettre à jour la dernière version du logiciel de leur appareil, y compris les mises à jour de sécurité, qui sont publiées chaque mois.
Qu’est-ce que Dirty Pipe ?
La vulnérabilité Linux appelée « Dirty Pipe » (CVE-2022-0847) affecte les noyaux Linux qui sont dans une version supérieure à 5.8. Cette faille permet d’obtenir les privilèges root sur votre appareil. En d’autres termes : c’est l’accès principal à vos données et à votre appareil.
4 mois d’abonnements offerts, un bloqueur de pub intégré et des serveurs parmi les plus rapides du marché : c’est Noël chez Surfshark ! L’abonnement à ce VPN est à seulement 1,99 € /mois !
Cette faille de sécurité a été désignée comme la plus grande menace de sécurité pour Linux depuis des années et peut affecter n’importe quel appareil équipé d’un noyau Linux, comme les Chromebooks et les appareils Android.
Gardez à l’esprit que Dirty Pipe n’est pas un exploit, mais plutôt une vulnérabilité. Cependant, cette vulnérabilité permet d’accéder à un accès root. Une personne malveillante peut théoriquement faire ce qu’elle veut ensuite.
Quels correctifs ?
Un correctif a été fourni seulement trois jours après le signalement de l’exploit, vous pouvez le retrouver ici.
L’équipe Chrome OS a également le correctif le 7 mars dernier et semble avoir prévu de le déployer dans la mise à jour Chrome OS 99.
En ce qui concerne Android, la faille n’affecte que les versions d’Android avec les noyaux Linux plus récents et la plupart des appareils Android utilisent une version plus ancienne – à l’exception du Samsung Galaxy S22 et des Google Pixel 6. Pour le moment, il n’y a pas eu de correctifs déployés à ce sujet.
Une autre chose à noter est qu’avec l’utilisation de Linux par le Steam Deck, il est possible que cet exploit puisse affecter les utilisateurs de Steam Deck. Pour rappel, le Steam Deck fonctionne sur un fork personnalisé de la distribution GNU/Linux Arch Linux.
Comment protéger mon smartphone ou mon Chromebook ?
Tout d’abord, vous allez devoir vérifier si votre appareil pourrait potentiellement être à risque. Nous connaissons déjà la liste des appareils Android qui sont à risque, mais si vous souhaitez vérifier cela sur votre Chromebook, c’est simple.
Ouvrez un nouvel onglet et accédez à chrome://system. Ensuite, faites défiler la liste jusqu’à « uname« . Si le nombre après « Linux localhost » est supérieur à 5.8, votre appareil peut être affecté.
Pour le moment, en attendant les correctifs, il n’y a rien à faire, à part… rester très prudents et suivre nos conseils essentiels.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Si vous avez un PC équipé d’une distribution GNU/Linux, vous n’avez qu’à appliquer le correctif.
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
chrome://system donne invalid URL sur mon Android.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix