Samsung vante depuis des années son "Secure Folder" comme un moyen infaillible de protéger photos, vidéos, fichiers et applications sensibles sur ses smartphones Galaxy. Pourtant, une faille de sécurité récemment révélée remet en cause cette promesse !
Votre dossier sécurisé l'est-il vraiment ? Un utilisateur à découvert qu'il suffirait d’un profil professionnel activé sur le smartphone pour que ces fichiers, censés être inaccessibles, deviennent visibles par d’autres applications. Un problème d’ampleur, d’autant que Samsung n’a pas encore proposé de correctif officiel.
Le Dossier sécurisé, pas vraiment sécurisé ?
À première vue, le Dossier sécurisé de Samsung fonctionne comme une zone protégée sur l’appareil, distincte du stockage principal, verrouillée par un mot de passe ou une authentification biométrique. Cette fonctionnalité permet aux utilisateurs de masquer leurs données privées, loin des regards indiscrets.
Mais des experts en cybersécurité ont mis en lumière une faille majeure dans son fonctionnement. Contrairement à l'option Private Space d’Android 15, qui repose sur un profil utilisateur totalement indépendant, le Dossier sécurisé de Samsung est conçu comme un simple profil géré, inspiré du système de profil professionnel d’Android.
Résultat : une application lancée depuis un profil professionnel peut accéder librement aux fichiers du Dossier sécurisé. Un problème d’autant plus inquiétant pour ceux qui utilisent un smartphone Galaxy fourni par leur entreprise, puisque l’administrateur pourrait, en théorie, avoir une visibilité sur ces fichiers personnels.
Une faille confirmée et facilement exploitable
L’alerte a été donnée par des utilisateurs sur Reddit, avant d’être confirmée par des chercheurs spécialisés dans Android. Le bug a notamment été reproduit sous One UI 7, la dernière surcouche logicielle de Samsung.
Il suffit d’utiliser une application comme Shelter ou Island, qui permettent de créer un profil professionnel, pour exploiter cette faille. Les conséquences de cette faille de sécurité sont potentiellement graves et concernent plusieurs scénarios d’exploitation. Tout d’abord, si le smartphone est fourni ou géré par une entreprise, un employeur ou un administrateur pourrait, en théorie, accéder aux fichiers stockés dans le Dossier sécurisé, compromettant ainsi la confidentialité des données personnelles. Ensuite, une personne mal intentionnée ayant un accès physique, même temporaire à l’appareil pourrait exploiter cette vulnérabilité en installant une application tierce pour accéder aux fichiers censés être protégés. Enfin, cette faille ouvre également la porte à de potentielles cyberattaques. Un logiciel malveillant conçu pour exploiter cette vulnérabilité pourrait permettre à des hackers d’accéder aux fichiers privés des utilisateurs, mettant en péril des informations sensibles.
Il semblerait également que Samsung affiche les applications du Dossier sécurisé dans le gestionnaire d’autorisations Android, permettant ainsi à n’importe qui de voir quelles applications y sont cachées.
Comment se protéger ?
Pour l’instant, Samsung n’a pas officiellement reconnu le problème ni annoncé de correctif. La solution la plus efficace pour le constructeur coréen serait de modifier en profondeur l'architecture du Dossier sécurisé pour le rendre aussi hermétique que Private Space d’Android 15. Hélas, c'est sans doute impossible via une simple mise à jour OTA. Une telle refonte logicielle n’est pas anodine et pourrait nécessiter une mise à jour majeure, voire une refonte complète de la gestion des profils sous One UI.
En attendant un éventuel correctif de la part de Samsung, des mesures peuvent être prises immédiatement pour limiter les risques :
- Activer le chiffrement du Dossier sécurisé : cette option empêche Android d’accéder aux fichiers lorsqu’il est verrouillé. Pour cela, ouvrez le Dossier sécurisé, accédez aux paramètres et sélectionnez "Cryptage".
- Éviter d’utiliser un profil professionnel sur un téléphone personnel, sauf si cela est strictement nécessaire.
- Surveiller les autorisations des applications et vérifier régulièrement si des applications professionnelles ont été installées sur l’appareil.
- Éviter de stocker des fichiers ultra-sensibles dans le Dossier sécurisé, tant que Samsung n’a pas corrigé la faille.
Source : Android Authority
