Pour la seconde fois en un mois, une équipe israélienne a découvert une faille majeure de sécurité dans l’infrastructure d’un téléphone portable dont dépendent des millions d’utilisateurs – qui s’attendent à pouvoir utiliser leur appareil en toute sécurité. Une équipe commune de chercheurs des firmes de cyber sécurité CyNet et BugSec ont annoncé leur découverte jeudi.

Il y a juste trois semaines, la même équipe avait dévoilé une faille de sécurité permettant aux pirates de s’infiltrer à travers les pare-feux et de contrôler les ordinateurs fixes et portables.

« Nous faisions des recherches sur des applications dont nous pensons qu’elles sont vulnérables, et utilisions uniquement un appareil LG G3 pour cela, a déclaré en exclusivité pour le Times of Israel Idan Cohen, président de BugSec. Mais nous avons remarqué qu’il semblait y avoir un problème de sécurité dans toutes les applications que nous testions – et c’est à ce moment que nous avons réalisé que ce problème était dû à l’appareil. »

Ce problème, nommé vulnérabilité SNAP, tire avantage d’un trait de conception du modèle le plus populaire de LG. « Il utilise un défaut de l’une des applications LG, Smart Notice, qui est préinstallée automatiquement sur tous les nouveaux appareils LG. Smart Notice présente à l’utilisateur les notifications récentes qui peuvent être forgées pour injecter un code malveillant non authentique. »

L’équipe connait la vulnérabilité depuis plusieurs mois, a déclaré Cohen, mais a attendu le développement par LG d’un patch pour protéger les téléphones avant de rendre cette information publique. Il faut noter qu’il n’y a pas eu de cas décrit d’un pirate utilisant cette vulnérabilité, mais étant donné l’utilisation potentielle, LG a immédiatement commencé à travailler sur une réparation, qui a été publiée cette semaine, avant l’annonce de CyNet/BugSec.

Bien que maintenant surpassé par le G4, le modèle G3 de LG reste très populaire parmi ses utilisateurs. « Le G4 n’est sur le marché que depuis quelques mois, et la plupart des utilisateurs n’ont pas encore changé de portable, donc il y a toujours beaucoup de G3 en circulation. Parce que la vulnérabilité provient d’une application incluse dans l’appareil, que toutes les applications peuvent utiliser (et presque chaque application qui reçoit des messages le fait), Smart Notice est un véhicule potentiel pour atteindre le dispositif d’un utilisateur, voler ses données, envoyer des photos stockées sur l’appareil aux médias sociaux, récupérer des informations enregistrées de cartes de crédit, etc. », a déclaré Cohen.

La vulnérabilité permet aux pirates d’utiliser une routine JavaScript pour lancer un code accessoire sur le serveur, leur permettant d’étendre la portée du code pour prendre le contrôle d’un appareil.

Dans un post de blog, les chercheurs détaillent et démontrent comment ils ont pu récupérer des numéros de téléphone et des informations d’identification depuis la mémoire d’un téléphone, accéder à un site de hameçonnage avec le navigateur d’un appareil pour télécharger un logiciel malveillant, ou même lancer une attaque par déni de service contre un site web – directement depuis l’appareil, sans que son propriétaire ne soit même au courant de ce qu’il se passe.

« Le code malveillant peut être délivré par des applications qui utilisent des services de messagerie, a déclaré Cohen. Nous en avons créé deux – une qui informe les utilisateurs de messages WhatsApp, et l’autre qui les enjoint à scanner un code QR – mais beaucoup d’autres méthodes auraient aussi pu être utilisées. »

A la découverte du problème, Cohen a déclaré que l’équipe – menée par les chercheurs Liran Segal et Shachar Korot – a agi de manière responsable et a informé LG. « Ils ont été très professionnels à ce sujet, et ont travaillé avec nous pour comprendre le problème et les moyens de le résoudre, a déclaré Segal. En ce qui concerne comment ils ont permis une telle vulnérabilité sur leurs appareils, ils n’ont pas expliqué et nous n’avons pas posé la question », puisque ce problème est interne à LG. « J’imagine qu’ils font leurs propres calculs maintenant », a-t-il ajouté.

Reconnaitre le problème n’a pas nécessairement la manière dont les fabricants de pare-feux ont réagi le mois dernier quand une autre équipe de chercheurs de BugSec et CyNet les a informé du défaut important de conception de pare-feux de nouvelle génération, qui examine les communications des applications au lieu de l’accès aux ports afin de déterminer si un pirate essaie ou non de pénétrer.

Dans ce cas également un défaut JavaScript permettait aux pirates de débouler dans le bouclier de protection du pare-feu et de prendre le contrôle des ordinateurs et des serveurs. « Cette vulnérabilité aurait pu potentiellement engendrer de grands risques pour les organisations », a déclaré Stas Volfus, directeur de la sécurité offensive de l’équipe. « C’est construit dans tous les pare-feux de nouvelle génération, et si nous sommes capables de les exploiter, les pirates le seront aussi. »

Au lieu de remercier l’équipe, cependant, certains fabricants – que Cohen ne citera pas – ont répondu qu’ils étaient au courant de la vulnérabilité, et qu’ils ne sen inquiétaient pas. La communauté des pirates connait le problème depuis plusieurs années, mais aucune attaque n’utilisant cette faille n’a été décrite, signifiant que d’autres mesures de sécurité sont suffisantes pour protéger les systèmes.

« Nous étions un peu surpris également », a déclaré Cohen, qui n’a pas donné plus de précisions. Critiquer la « paranoïa » de l’équipe a été un sujet de discussion d’une partie (très passionnée) de la communauté de la cyber sécurité le mois dernier, des experts défendant les deux parties – et pour soutenir ses arguments, l’équipe a publié une vidéo montrant le dommage potentiel qui pourrait résulter de cette vulnérabilité, malgré les autres mesures de protection d’un appareil.

Avec la découverte de deux failles de sécurité majeures, les compagnies israéliennes ont le vent en poupe. « Apparemment il y a d’autres ‘défauts de conception’ dans les produits différents niveaux – matériel et logiciel – et nous travaillons en ce moment sur plusieurs autres, dont nous révélerons bientôt les détails, a déclaré Cohen. Celui-ci était unique parce qu’il pouvait potentiellement affecter énormément de personnes. »