La folie déclenchée autour de l’hypothétique bug de Facebook n’était pas encore retombée qu’une nouvelle faille de sécurité était annoncée. Cette fois c’est le constructeur Samsung qui est en cause avec ses modèles Galaxy Beam, S Advance, Galaxy Ace, Galaxy S II et Galaxy S III. La faille mise en évidence lors de la conférence annuelle sur la sécurité « Ekoparty 2012 », permet d’effacer les téléphones Samsung à distance en utilisant le code USSD.
« Quésako le code USSD ? » me direz vous. Et bien c’est tout simplement le code fourni par les constructeurs et qui permet de réinitialiser le téléphone en configuration d’usine. Une fois le code utilisé, votre téléphone se retrouve dans l’état où il était quand vous l’avez sorti de sa boite. Je parle de sa configuration logicielle hein, le code qui efface les rayures sur la coque ou sur l’écran, ça n’existe pas encore ! Vous l’avez compris, toutes vos données sont alors irrémédiablement effacées, éliminées, gommées, détruites, annihilées, anéanties, supprimées !
A ce stade vous vous dites qu’il n’y a rien de bien dangereux tant que vous n’entrez pas ce fichu code, et qu’il faudrait être complètement idiot pour le saisir sans le faire exprès.
Oui, mais voila : Ravi Borgaonkar, un chercheur en sécurité de l’université technologique de Berlin, a démontré que ce code peut être envoyé par SMS en mode « Wap Push » (un SMS cliquable qui redirige vers une page Internet), via un QR Code ou encore par l’intermédiaire du NFC.
Ce qui semble incroyable, c’est qu’aucune demande de confirmation ne permet de stopper le processus avant que vos donnée ne soient effacées, broyées, fracassées, pulvérisées, atomisées, réduites à néant (c’est bon, il est passé le message ? 😉 ).
Vous le sentez le malaise là ?
Une simple page web contenant un script ou un iFrame suffit pour exploiter la faille :
<script>document.location= »tel:*2767*3855%23″;</script>
<frame src= »tel:*2767*3855%23″ />
Edit 26/9 – 20 heures :
D’après les informations postées par le site Smartphone France cet après-midi, il semble que Samsung ne soit pas le seul constructeur impacté (lire Grosse faille de sécurité sur de nombreux smartphones ?)
L’article conseille de vous connecter à ce site avec votre smartphone qui affichera son IMEI s’il est vulnérable.
Si vous êtes concerné, vous pouvez télécharger l’application gratuite TelStop qui vous protégera en attendant qu’un correctif ne soit publié.
Edit 2 – 27/9 :
Samsung a déjà patché le Galaxy S III : faites la mise à jour si ce n’est déjà fait.
Si vous avez aimé cet article, n'hésitez pas à vous abonner au site. Vous pouvez aussi me retrouver sur Twitter ou Facebook pour d'autres infos.
faux ! la mise à jour a déjà été faite sur une grosse partie des S3. L’exploit touche aussi de nombreuses marques sous android, il faut les mettre en garde aussi !!! Un peu réchauffé comme info, et inutile… grrrr
@7f3fa18aa9e74f7c2693522126355a96:disqus
Voila un commentaire utile et constructif !
Et déposé par une personne courageuse qui se cache derrière un pseudo ridicule et une adresse mail jetable qui plus est.
L’actualité évolue, c’est même une de ses caractéristiques principales.
Il n’est donc pas étonnant qu’un article d’actualité posté ce matin ne soit plus à jour le soir.
Cela ne me semble pas difficile à comprendre.
Plutôt que de cracher ton venin, tu aurais pu citer tes sources et ainsi éviter que ton commentaire ne soit aussi inutile que mon article…
Pour les autres :
D’après les informations postées par le site Smartphone France cet après-midi, il semble en effet que Samsung ne soit pas le seul constructeur impacté (lire http://android.smartphonefrance.info/actu.asp?ID=2710)
L’article conseille de vous connecter au site http://www.smartphonefrance.info/ussd.asp avec votre smartphone qui affichera son IMEI s’il est vulnérable.
Si vous êtes concerné, vous pouvez télécharger l’application gratuite TelStop ( https://play.google.com/store/apps/details?id=org.mulliner.telstop ) qui vous protégera en attendant qu’un correctif ne soit publié.