Les smartphones Android peuvent être piratés avec un simple MMS
Une faille de sécurité permet à des pirates de prendre le contrôle d'un smartphone en envoyant un fichier multimédia par texto.
Un simple texto reçu, et voilà votre smartphone sous le contrôle d'un pirate. Cette faille concerne les téléphones fonctionnant sous le système d'exploitation mobile Android de Google, a averti lundi 27 juillet la société de sécurité informatique Zimperium.
"Les attaquants n'ont besoin que de votre numéro de téléphone, et en l'utilisant ils peuvent exécuter des programmes à distance via un fichier spécifiquement conçu pour cela et délivré par MMS", un texto incluant des contenus multimédia comme de la vidéo, explique Zimperium sur son blog (en anglais).
Des logiciels malveillants activés même sans lire le MMS
La société de sécurité informatique précise que le message utilisé par l'attaquant peut même être détruit avant que le propriétaire du smartphone ne le lise. La faille repose sur une fonctionnalité baptisée "Stagefright", qui pré-télécharge automatiquement les extraits vidéo attachés à des textos pour éviter à leur destinataire d'avoir à attendre pour les regarder. Les pirates peuvent cacher dans ces fichiers vidéo des programmes malveillants, qui seront du coup activés même si le propriétaire du smartphone ne lit pas le message.
"N'importe qui peut être ciblé par ce type d'attaque, prévient Zimperium. Ces failles sont extrêmement dangereuses car elles ne nécessitent pas une action de la victime pour être exploitées."
Google est informé, mais la mise à jour sera longue
D'après Zimperium, quelque 95% des smartphones opérant sous Android, soit environ 950 millions d'appareils, sont à risque. Il ne semble pas, toutefois, que des pirates aient déjà utilisé la faille. La société dit avoir informé Google du problème et lui avoir fourni des patchs de sécurité pour y remédier, "mais malheureusement ce n'est que le début de ce qui sera une très longue procédure de mise à jour".
Ce n'est pas Google qui contrôle les mises à jour d'Android sur les appareils utilisant le logiciel, mais les fabricants des téléphones et même, parfois, les opérateurs téléphoniques. Davantage de détails sur les recherches de Zimperium doivent être dévoilés lors de la conférence sur la sécurité informatique Black Hat, qui se tient début août à Las Vegas.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.