Passer au contenu

Une faille 0day dans le noyau de Linux : un demi milliard d’appareils Android impactés

Mauvaise nouvelle pour les utilisateurs d’un appareil Android ou Linux, une faille vient d’être découverte et elle peut avoir des conséquences directement dans le cœur de…

Mauvaise nouvelle pour les utilisateurs d’un appareil Android ou Linux, une faille vient d’être découverte et elle peut avoir des conséquences directement dans le cœur de l’OS. Cette vulnérabilité concerne tous les appareils qui disposent d’un noyau de version 3.18 ou supérieure et existe depuis 2012. Il s’agit en fait d’un bug dans la gestion des clés de sécurité qui permet à des applications d’exécuter du code.

android-security-apps

Selon Perception Point, la faille date de 2012 et concerne donc une majorité des appareils, ordinateurs personnels ou serveurs qui tournent sous un OS Linux. Cependant, et c’est bien là tout le problème, cette faille concerne aussi 66% de tous les terminaux Android. Les appareils qui tournent sous Ubuntu, Debian ou encore RedHat disposent déjà d’une mise à jour qui est en cours de déploiement, en revanche, ce n’est pas le cas des appareils sous Android qui mettront plusieurs mois à avoir le droit à une correction – s’ils en ont une un jour.

Une bonne nouvelle cependant, cette attaque prend du temps à être effectuée, il faut à minima une demie heure pour que l’attaquant obtienne les droits d’administrateur et il faut que l’attaquant ait directement accès à la machine pour pouvoir mettre en place l’attaque (que ce soit physiquement ou via une application que l’attaquant aura installé).

Pour les plus techniques d’entre vous, il est possible de trouver des explications détaillées sur le site de Perception Point.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

34 commentaires
  1. Bof, de toute façon après la faille permettant de prendre le contrôle du téléphone en lui envoyant un MMS qui ne sera de toute façon jamais comblé sur la majeure partie des terminaux en circulation, les andro user ne sont plus à une faille critique près.

    1. C’est clair qu’avec plus de 780 bugs et failles sous iOS contre 150 sous Android, on n’est plus à ça près et on n’est pas non plus près de rattraper le triste record de iOS d’Apple puisque ces chiffres concernent l’année 2015… ^^
      Pour ce qui est de OS X, c’est dans les mêmes eaux, donc pas un pour rattraper l’autre !

      1. Le mec passe ici(Si c’est bien le SCER qu’on a connu) juste pour troller, ne prend même pas la peine de se créer un compte, je vois pas pourquoi tu t’embêtes encore à user de ton temps pour lui répondre. 😉

        1. Je me fiche de savoir s’il s’agit d’un vrai ou d’un faux SCER ( lol ) et s’il a ou pas un lien avec le S’Leo sur le site de “Les Numériques”, mais dès qu’il y a de l’intox et de la désinformation ou de la propagande je réponds et tant qu’à faire avec des infos fiables et vérifiables. 🙂

        1. XPTDR

          Comme avec ethanfel, je me glose du niveau de professionnalisme et d’impartialité de “macg.co” tout comme celui de “Les Numériques” qui se prétend neutre, mais qui ne peut s’empêcher de donner ses faveurs aux fanboys de la pomme en laissant passer et se diffuser la propagande pro Apple…

          Sinon, peu importe le niveau critique des failles Apple car ça laisse au minimum la fiabilité des produits Apple au moins 3 fois en dessous de celui d’Android.

          Ce qui signifie que tu as au minimum 3 fois plus de chance de choper une faille critique avec un iPhone ou un iTruc qu’avec un produit sous Android. CQFD

          Pour ce qui est de Windows, c’est juste la même merde de toute façon et ça ne change pas grande chose puisque c’est juste la continuité des dernières décennies… CQFD bis

          1. Loin de moi l’idée de te contredire (car sur le fond tu as raison mais moins sur la forme…) mais lorsque tu utilises “CQFD” il faut balancer de l’argumentation sinon tu risques d’être relayé au rang de fanboy car sans argumentation pas de démonstration… ^^’

          2. @Ce qui signifie que tu as au minimum 3 fois plus de chance de choper une faille critique avec un iPhone ou un iTruc qu’avec un produit sous Android. CQFD

            Le problème d’Android, c’est que t’a des failles critiques introduite par le code proprio qu’apportent les constructeurs dont on ne parle pas. Samsung est particulierement opaque a ce sujet.

            Mais soyons réaliste, que tu utilise normalement Android ou iOS( c’est a dire sans pirater ou sans jailbreak) le risque de voir une faille sur ton smartphone exploité est extrèmement faible.

          3. @ragex,

            Si l’on applique le même argument aux failles et bugs iOS présenté par Nico7as via le lien “macg.co” à Android et si l’on a bien suivi l’actualité des bugs et failles critiques existant sous Android en 2015, les failles critiques Android se résume en fait à moins d’une dizaine, et selon certaines conditions puisque l’histoire du MMS par exemple ne s’applique pas du tout aux produits Android fonctionnant uniquement en Wifi comme nombre de tablettes.
            Alors que si tu utilises le chiffre à minima de 14% avancé par “macg.co”, tu obtiens donc 14% de 780, ce qui te donne donc 109 FAILLES CRITIQUES SOUS iOS. Donc au final on est plus dans un rapport de 1 à 10 et non plus de 1 à 3 quand je parlais de minimum dans mon précédent post… PTDR

            Ça te convient mieux comme démonstration ? 😀

          4. @Ethanfel,

            Même si Samsung reste opaque concernant ses failles, Google se charge de les faire connaître et à ce jour, c’est de l’ordre de 23 failles plus ou moins importantes.

            D’ailleurs à ce propos, une association de consommateurs Néerlandaise s’est donné pour mission d’attaquer Samsung pour l’opacité des mises à jour Samsung et ce serait bien que son homologue français en fasse de même.
            J’ai essayé d’informer les clients sur XDA, mais j’ai été en partie censuré… ^^

            Pour ce qui me concerne, je pense que je vais aussi l’attaquer pour ce qui concerne les imprimantes laser couleur qui bloquent l’impression en noir et blanc quand un seul Toner couleur est vide.
            Un non sens technique complet !!!

          5. Si je pensais un jour faire un compte sur le JDG pour déverser ma rage sur un pauvre gars comme toi …

            Tes chiffres magique là, tu les sors d’où ? La pseudo étude de m***** qui a été relayé par tout les médias ?
            Celle qui t’explique que les appareils Apple sont les plus vulnérables parce que plus de failles ?

            OK. Premièrement, cet enquête à été mal présenté partout, il s’agit des failles COMBLEES sur l’année 2015. Tu saisis la nuance ? Si tes produits sont plein de failles et que tu ne fais rien, tu apparais dans ce classement comme le bon élève. Avec la fragmentation d’Android et le nombre incroyable de fabricants de matériels, tout le monde sais que Google ne peut garantir la mise à jour de tout ces appareils et choisis délibérément de ne pas réparer certaines failles.
            Deuxièmement, cela ne tient pas compte de la criticité des failles, la plupart des personnes ici sont incapables de faire la différence entre une faille permettant un privilege escalation local avec un exploit distant. La plupart du temps les failles Android combinent les deux, ce qui les classent souvent dans la catégorie des failles critiques.

            Je ne pensais jamais citer un article du JDG, mais pour le coup : https://www.journaldugeek.com/2015/10/15/85-des-appareils-android-seraient-vulnerables-a-une-faille-critique/

            Et enfin arrête de parler de choses que tu ne comprends pas : “ne s’applique pas du tout aux produits Android fonctionnant uniquement en Wifi comme nombre de tablettes.”
            Stagefright, la fameuse, est une faille touchant le framework média d’Android, ce qui veut dire que les vecteurs d’attaques viennent de partout : site web, mms, fichier vérolé, ou même N’IMPORTE QUEL APPLICATION JOUANT DU CONTENU MEDIA.

            Un peu de lecture : https://blog.zimperium.com/the-latest-on-stagefright-cve-2015-1538-exploit-is-now-available-for-testing-purposes/

          6. Votre commentaire est en attente de modération

            Tiens, parce que tu m’a l’air d’un bon expert : https://www.cvedetails.com/cve/CVE-2015-7112/

            Regarde cette faille super critique. Si t’arrives à me donner un cas réel pour un utilisateur de subir cette faille, avec l’appstore, je vois pas trop mais essaye.

            Tiens regarde les scores : https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/year-2015/Google-Android.html
            https://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2015/Apple-Iphone-Os.html

            C’est bien la quantité, faut ici regarder la qualité des failles ainsi que leur pertinence et la possibilité de les exploiter.

            C’est fatiguant de voir autant de monde parler d’informatique quand on y connais rien. Te payer un téléphone à 600 balles et lire le JDG ça suffit pas.

  2. @SCER : la faille dont tu parles (Stagefright) a été corrigée il y a plusieurs mois. Et tous les OS mobiles sont susceptibles d’être touchés par ce genre de faille (on ne parlera pas du jailbreak à distance d’iOS via une simple page web découvert suite au concours organisé par la société Zerodium et son million de dollars de récompense…).

  3. Mouais, ça vaut pas la peine d’en faire un article si ça parle pas de la Pomme. Y’a forcément une explication si c’est Android. (et pour les futurs rageux j’ai un Nexus 6P)

    1. C’est pas parce que quelqu’un fait l’effort de donner des explications ou des détails que ça remet en cause la faille.
      C’est juste que de façon générale les gens qui touchent Linux aiment bien savoir comment ça tourne sous le moteur donc t’as plus de chance d’avoir de remonté d’info que sur un OS plus Hipster 😉

  4. C’est rigolo parce que les esprits faibles s’identifient aux marques, y compris a la marque de leur téléphone en plastique. Du coup le moindre sujet est un prétexte pour venir cracher sur la marque concurrente, alors qu’ils n’ont pourtant pas d’actions et que le PDG du produit n’est pas non plus leur papa, juste ils ont un acheté un téléphone au supermarché ou dans une petite boutique sombre au bout de la rue – et cela suffit pour qu’ils deviennent les chevaliers ridicules d’un produit de grande consommation.
    En fait ce sont des victimes, car le but du marketing est de créer de l’envie avec de la frustration, et ils montrent juste que la frustration finit par donner de l’aigreur. Ce sont là les petites victimes du marketing.

    Sinon, la faille tout le monde s’en fou, il y a des centaines de news sur le sujet chaque mois, et la plupart des lecteurs n’ont pas les capacités et l’intérêt pour bien comprendre de quoi il s’agit vraiment…

    1. En effet, c’est aussi parce que certains ont mis la moitié d’un salaire sur leur petit truc qui devient finalement l’Objet à valeur matérielle le plus important de leur vie.

      Maintenant quelque soit les gros OS du marché (Apple – Google – Microsoft) il serait temps de mettre les bouchées doubles pour fixer et améliorer leurs OS mobile parce que tout les objets connectés à venir on va au devant de grosse problèmes.
      Imaginez la Faille Oday du lange linge qui commande une palette de lessive sur Amazon, une frigo qui d’éteint, les cameras de surveillances qui balancent sur Facebook ou Instagram etc…
      Moi ça me rassure pas de masse, je vais finir par me chercher un mobile qui téléphone simplement 🙂

      1. @c’est aussi parce que certains ont mis la moitié d’un salaire sur leur petit truc qui devient finalement l’Objet à valeur matérielle le plus important de leur vie.

        Ouais enfin j’apprecie beaucoup les produits google et que ce soit un iphone ou un android HDG, c’est tres loin d’etre la moitié de mon salaire.

        1. Désolé que ça te prenne tout ton salaire 😉

          @bit101 > Totalement d’accord avec toi. J’ai jamais compris que des gens défendent Android/iOS comme ils défendraient leur famille. Ce genre de personnes doit avoir une vie bien morose et ne dois pas beaucoup s’impliquer dans les vraies causes de ce monde.

          1. @Ce genre de personnes doit avoir une vie bien morose et ne dois pas beaucoup s’impliquer dans les vraies causes de ce monde.

            Ca fait pas hypocrite du tout, le mec qui post ça sur un forum “geek” a 14h47″.

            Heureusement ue le ridicule ne tue pas :p

    2. @C’est rigolo parce que les esprits faibles s’identifient aux marques

      Ce qui est interessant, c’est que c’est souvent des gens faible de personnalité qui classent les autres comme esprit faible.

  5. @il faut que l’attaquant ait directement accès à la machine pour pouvoir mettre en place l’attaque

    Ca va, si tu pirate pas ou que tu laisse pas d’etranger jouer 30minutes avec ton smartphone, tu risque pas grand chose.

    @ un demi milliard d’appareils Android impactés

    Non, 4.4 ou moins non impacté. Du coup il n’y a que lolipop et M.. on est tres loin du demi milliards.

    Ca va bien tester les engagements de samsung etc de deployer les majs de secu mensuel de google.

    1. @Ca va bien tester les engagements de samsung etc de deployer les majs de secu mensuel de google.

      Pour ce qui concerne mon Galaxy Note 3, même s’il n’y a pas eu de firmware 5.1.1 comme prévu, on continue d’avoir des firmware 5.0.x avec toutes les failles colmatées ce qui est déjà pas si mal alors que d’un point de vue fonctionnalités il reste supérieur à un Android Marshmallow Stock. 😉

  6. Hier j’avais lu les détails sur la source de l’article et j’avais trouvé ça cool. Aujourd’hui je reviens voir les commentaires pour voir ce qu’en pensent les autres et je tombe sur une guerre larvée entre fanboys de tous bords. Où sont passés les vrais nerds ?

  7. @arobase: c’était plus un conseil qu’une critique, ça évite un bash gratuit du fanboy de base 🙂
    Et en effet ton argumentation tiens plus la route maintenant 🙂

    1. Disons que tout un chacun serait parvenu au même résultat s’il s’en était donné la peine alors que là il a fallu que je vous mâche tout le travail de la réflexion et de la démonstration, mais surtout de la retranscription… 😉 :p

      1. basher du fanboy ça demande du boulo, faut tout leur expliquer ^^’

        perso comme je disais sur l’autre com j’étais d’accord sur le fond… mais pas sur la forme, c’est tout 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *