Révélée hier, la faille de sécurité Stagefright a inquiété de nombreux utilisateurs d’appareils Android. Il faut dire que, telle qu’elle a été décrite, cette faille peut se montrer particulièrement dangereuse pour les données du téléphone puisqu’elle permet à un attaquant de prendre en partie le contrôle d’un smartphone Android simplement en envoyant un MMS. Le site Android Police a alors contacté Google pour savoir ce que comptait faire la société de Mountain View. L’un de ses représentants lui a adressé la réponse suivante :
« Cette faille a été identifiée sur d’anciens appareils sous Android et d’après ce que nous savons, aucun n’a encore été infecté. Dès que nous avons pris connaissance de cette faille, nous avons immédiatement réagi et envoyé un correctif à nos partenaires afin de protéger les utilisateurs. Dans le cadre de nos mises à jour régulières de sécurité, nous prévoyons de déployer dans les prochaines semaines un correctif à destination des appareils Nexus. Et nous publierons ce correctif en open source quand les détails seront rendus publics par les chercheurs à l’occasion de la BlackHat conférence. »
A priori tous les appareils Nexus, y compris ceux qui ne sont pas sous la dernière version d’Android devraient bénéficier rapidement d’un correctif, dont on ne connaît pas encore la nature de son déploiement. Quant aux autres constructeurs, on ne sait encore ni quand ni comment ils comptent corriger cette faille. L’équipe de développement de Cyanogen semble en tout cas avoir pris les devants et annonce avoir déjà corrigé la faille dans certaines de ses nightlies.
Il semble en tout cas que la découverte de cette faille agace beaucoup Google. Ainsi, Adrian Ludwig, le responsable de la sécurité d’Android a tenté de rassurer les utilisateurs dans un billet publié sur Google+. Il explique : « On a tendance à croire que n’importe quel bug logiciel peut être transformé en une faille de sécurité. En fait, la plupart de ces bugs ne sont pas exploitables et il y a beaucoup de choses qu’Android a fait pour que ces derniers ne le soient pas ». De fait, pour l’instant aucun téléphone n’a été touché par cette faille. Et Google semble penser que son OS mobile dispose d’assez de sécurité pour que cela ne se produise pas à l’avenir.
Tu peux leur déconseiller d'utiliser Windows aussi, avec la quantité de failles connues publiquement qu'ils se trimballent depuis des lustres.
5.1.1 est impacté aussi ? J'avais cru lire jusqu'à 5.1 ?
Il est également tout à fait envisageable que Google n'ait pas communiqué publiquement sur cette faille, mais ait communiqué le patch aux OEM dès avril/mai. Le patch, ils l'ont déjà depuis un moment, et ce n'est pas eux qui l'ont écrit, mais la société de sécurité à l'origine de la découverte de la faille.
Sauf que Stagefright n'est pas utilisé que pour les MMS, mais par tous les traitements automatiques sur des vidéos. Tu peux très bien tomber sur le cas sur une page web, par exemple. Si les MMS permettent une infection sans la moindre action de l'utilisateur, il y a bien d'autres vecteurs.
Il ne s'agit pas d'une rumeur
Ils considèrent les appareils sous 5.1.1 comme d'anciens appareils O_O !
Je suis assez d'accord avec lui personnellement. Que cette faille soit exploitée ou pas, 950 millions de personnes VULNERABLES (à ne pas confondre avec des victimes réelles), et qui le resteront pour un bon bout de temps vu la latence des constructeur à appliquer les MAJ à tous leur modèle, c'est très grave. Si demain tu me dis qu'on peut prendre contrôle d'un PC Windows juste en envoyant un mail, que cette faille soit utilisée ou pas, je prends pas de risque, et je boote sur mon Linux jusqu'à ce que la faille soit corrigée, question de bon sens.
n'importe quoi. ou comment céder a la panique a la moindre rumeur. 99% des commentateurs, journalistes et autres bloggeurs ne comprennent rien a ce qui se passe, ne savent pas ce qui est fait en coulisse et l'impact réel que cela a sur des téléphones réels (pas des demos en labo). pour l'instant on n'a pas entendu parler de 'victimes réelles'...juste un gros buzz et un type qui cherche a vendre sa solution de sécurité. C'est si dur d'attendre le 5 août pour avoir tout les détails , les vrais détails qui monterons l'importance réel de de bug. Et pas les suppositions et autres fantasmes de gens qui comprennent pas la différence entre bug, exploit, hack, surface d'attaque, mitigation, etc
Bah oui bien sûr, faut pas être parano. 950 millions de téléphones touchés, ça fait combien d'utilisateurs qui liront ce commentaire ? Allez, on va être gentil, 50 millions de personnes vont faire cette manip. Super, il reste seulement 900 millions de personnes vulnérables, hourra ! Ce genre de commentaire minimisant la gravité de cette faille m'insupportent.
A noter que Google a été prévenu en avril, puis en mai, et rien n'a été fait. Et on sait très bien que quand Google aura sorti un patch, certains constructeurs le mettront à disposition, pour certains de leur modèles (mais pas tous, comme d'hab), et on sait pas quand. Bref, la beauté d'Android quoi. Et me parlez pas de vos Cyanogenmod ou autres conneries, là on parle de 950 millions de téléphones touchés, vous croyez que les moders représentent quoi ? 10% des users Android ? Bref, aujourd'hui, je pense qu'Android est à déconseiller aux utilisateurs non-averti.
Il faut arrêter la paraino Il suffit d'aller dans le options (messages) On désactive la récupération automatique des MMS L'utilisateur peut alors, très simplement, choisir de télécharger ou pas le MMS Si la provenance est inconnue alors on ne télécharge pas.... c'est tout !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix