Les smartphones Android embarquant un processeur Snapdragon touchés par des failles de sécurité

Par Mathieu Grumiaux, Expert maison connectée.

Publié le 13 août 2020 à 08h35

Des chercheurs ont mis à jour près de 400 vulnérabilités dans les puces du constructeur américain, installées sur plus d'un milliard de smartphones dans le monde.

L'ensemble de ses vulnérabilités ont été repérées par les chercheurs de la société experte en sécurité Checkpoint, qui ont présenté leurs découvertes lors de la DEFCON 2020.

En cause des bouts de code vulnérables au niveau de la puce DSP

Baptisées « Achilles », ces 400 failles de sécurité sont toutes concentrées dans le DSP (Digital Signal Processor), un composant présent sur le SoC pour traiter les signaux complexes comme le traitement de l'image ou les taches d'intelligence artificielle.

Si les puces DSP apportent un grand nombre de fonctionnalités à l'utilisateur, elles « sont beaucoup plus vulnérables aux risques car elles sont gérées comme des "boîtes noires" et il peut être très compliqué pour toute personne autre que leur fabricant de revoir leur conception, leurs fonctionnalités ou leur code », indiquent les chercheurs.

Selon ces derniers, ces bouts de code vulnérables pourraient être utilisés par des hackers malintentionnés pour pénétrer dans le smartphone et espionner l'ensemble des communications et des données enregistrées comme les contacts, les messages ou les mails reçus et envoyés. Ces failles peuvent aussi être exploitées pour des attaques par déni de service ou encore pour rendre inaccessibles certaines données du téléphone. Il leur suffirait seulement de convaincre l'utilisateur d'installer une application agissant comme un Cheval de Troie pour accéder à l'ensemble du smartphone.

Qualcomm rappelle à ses clients d'installer scrupuleusement chaque mise à jour de sécurité

Les chercheurs expliquent que près d'un milliard de téléphones sont potentiellement exposés à ce type de menaces. En effet Qualcomm, concepteur des SoC Snapdragon, équipe près de 40% des mobiles en circulation dans le monde, des smartphones d'entrée de gamme aux modèles premium.

Les différentes failles n'ont pas été rendues publiques par Checkpoint, qui a toutefois envoyé les conclusions de ses recherches à l'entreprise américaine. Celle-ci se veut rassurante et explique que pour l'heure rien n'indique que ces vulnérabilités ont été exploitées par des hackers.

Qualcomm encourage toutefois l'ensemble des utilisateurs de smartphones équipés de ses puces à installer les correctifs de sécurité proposés par les fabricants dès leur publication, afin d'éviter tout piratage éventuel. Le constructeur recommande également de n'installer que des applications disponibles sur le Google Play Store et validées par les équipes du moteur de recherche.

Source : Tech Xplore

Par Mathieu Grumiaux

Expert maison connectée

Qualcomm

Processeur

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

nicgrover

A quand les plus plates excuses de Qualcomm ?

bmustang

rien que 400 ? comme quoi plus t’es gros et moins t’en fais en pensant passer à travers ! Intel est rattrapé sur cette superbe perf.

COVINA

<trump mode>
Tous les smartphones Snapdragon devraient être interdits car ils présentent un risque pour la sécurité du pays.
</trump mode>
Plus sérieusement, même si je connais la réponse que l’on va me faire, j’ai du mal avec « hacker malintentionné ». Cela ressemble à un pléonasme. S’il est bien intentionné, ce n’est plus un hacker mais un chercheur en sécurité non ?

tfpsly

Houla non! Contrairement à l’usage qui en est fait dans 99% des articles journalistiques et films, hacker ne signifie pas pirate (donc oui ce terme est très mal employé dans l’article Clubic en haut de cette page).

Le mot hacker vient de quelqu’un trop accroché (hooked) à sa passion pour s’en décrocher; mais des journalistes ont pensé que « hacker » = « hook » = « pirate des mer » donc pirate informatique. Un gros raté.
Les premiers hackers étaient des… bidouilleurs de modèles réduits électriques de trains, pour les rendre plus rapide sur des circuit, dans des compétitions de vitesse vs stabilité (et même avant, de fermiers ayant particulièrement optimisés leur mouvements dans les champs). Rapport au piratage? Aucun…
Les premiers hackers informatiques sont apparus dans des universités US comme Berkeley et le MIT. Ils avaient accès à l’unique ordinateur du département informatique après les cours. Gêné par l’usage mono-utilisateur de l’ordinateur, ils y ont ajouté le support du multi-utilisateur (avant : on mettait les cartes trouées, on allumait l’ordinateur; après : ordi allumé, un utilisateur pouvait s’y ajouté et lancer un nouveau programme). Rapport au piratage? Aucun…
Puis ils ont vu que si un programme plantait, il plantait la machine pour tout le monde, perdant les données de tous. Donc ils ont ajouté des sécurités contre cela, afin que chacun ne puisse toucher que ses propres données. Rapport au piratage? Aucun, bien au contraire.

Bref : les hackers ne piratent pas les ordinateurs et ne s’attaquent pas à la sécurité informatique, ils l’ont inventé! Les développeurs de Unix, puis Linux, Firefox etc., ainsi que pas mal d’ingé des jeux vidéos (surtout ceux qui étaient des demomakers) et O/S sont des hackers (accros aux ordinateurs, essayant d’en faire toujours plus avec les limites données). Sans cet état d’esprit, on n’aurait pas les jeux s’améliorant d’une année à l’autre sur une même console par exemple : le but est d’être le meilleur sur un matos donné.
Seule une petite portion des hackers sont des pirates. Et seuls une partie des pirates sont assez bons pour être des hackers.

C’est comme si le public utilisait le mot « conducteur » en signifiant « chauffard qui a écrasé et tué du monde ». Rien à voir pour 99,99% des conducteurs et des hackers, c’est une mauvaise compréhension du terme original qui s’est hélas propagée dans le journalisme puis le grand public n’y connaissant rien.

stratos

comme tous les constructeurs font leurs surcouche et pas de maintient des update en gros la majorité resteront sensibles aux attaques.

KlingonBrain

S’excuser pour des bugs ?

Soyons sérieux, si on faisait ça, les informaticiens passeraient les 9/10 de leur vie à s’excuser.

toug19

Ils ont regardé Qualcomm parce que c’est le plus connu. S’ils avait regardé ailleurs ils en auraient pas trouver moins…

cirdan

C’est surement à cause des chinois…

Demongornot

Et combien de ces bugs sont des backdoors volontairement mise en place ?
Vue que le Patriot Act oblige les entreprises US à intégré des backdoors dans leur produits, ça ne m’étonnerais pas que certains de ces « bugs » soit des ouvertures volontaires, après tout une backdoor doit être difficilement détectable pour que des pirates n’en profitent pas, donc beaucoup doivent se faire passé régulièrement pour de simple bugs au yeux de ce genre d’analystes.

Et par dessus ça, ça ne m’étonnerais pas que certaines backdoor ne soient même pas à usage gouvernementale, beaucoup de très grosses multinationales serraient prêt à payer des sommes colossales pour obtenir des données très confidentielles ou privé d’utilisateurs.

Judah

J’en ai trouvé 750 moi mais je ne dis pas lesquelles non plus.