ON A RÉPONSE À TOUT... OU PRESQUE

Une porte ouverte

dans le système Android

Une entreprise de sécurité informatique, Zimperium Mobile, a dévoilé la semaine dernière ce qu’elle qualifie de « plus importante faille à avoir jamais touché Android ». En gros, elle permet à un pirate de prendre le contrôle de votre appareil à distance même s’il n’a pour seule information que votre numéro de téléphone. Explications.

Est-ce que je devrais m’inquiéter ?

Oui, du moins en théorie et si l’on se fie aux prétentions de la firme Zimperium. Un ensemble de six failles ont été repérées dans un module d’Android nommé Stagefright, qui offre entre autres à toutes les applications de les aider avec la lecture de contenu multimédia.

Selon Zimperium, il suffirait d’un message texte multimédia (MMS) conçu de façon particulière pour exploiter ces failles et possiblement donner à l’émetteur le contrôle complet de l’appareil du récepteur.

Mais c’est sûr, là, ça existe, ce truc ?

On le croit, oui. Zimperium dévoilera plus de détails sur la faille cette semaine, dans le cadre de deux conférences regroupant des experts en sécurité informatique. C’est un peu pour promouvoir sa participation à ces conférences qu’on a laissé filtrer l’information la semaine dernière. D’ici là, il est difficile d’être certain à 100 % de la menace que représente le problème.

Est-ce que ça me concerne ?

Si vous avez un appareil Android, il y a de très fortes chances que oui. On dit que toutes les versions depuis Android 2.2 sont touchées.

Est-ce que je me suis fait pirater ?

Vous ne le sauriez probablement pas, parce qu’un pirate pourrait assez facilement cacher ses traces. Mais les risques sont faibles. On ne rapporte pour l’instant pas d’utilisation de ces failles.

De toute façon, il y a sûrement une mise à jour qui va être offerte bientôt pour régler tout ça. Elle doit même déjà être là, non ?

Non. Et c’est là tout le problème. L’apparition de ces failles met encore une fois en lumière l’un des plus importants problèmes de la plateforme Android, la distribution des mises à jour.

Pourtant, ce n’est pas compliqué, une mise à jour...

Chez Apple, non. L’entreprise contrôle tout, système et appareils. Quand elle décide de faire une mise à jour, il n’y a personne d’autre qu’elle d’impliqué.

C’est plus complexe du côté d’Android. Google contrôle les bases d’Android et c’est un peu à elle que revient, dans ce cas, la responsabilité de corriger le problème. Ce serait déjà fait, dit-on.

L’ennui, c’est qu’à moins d’avoir un appareil Android « pur » comme un Nexus, certains Motorola ou quelques rares autres modèles, la version d’Android contenue dans votre téléphone n’est pas celle créée par Google.

Samsung, Sony, HTC, LG et leurs semblables y ajoutent des modules supplémentaires afin de se différencier.

Il leur faut donc ensuite eux-mêmes tester les correctifs apportés par Google avant de les intégrer à leurs propres versions. Les délais peuvent être très longs. Et c’est sans compter les opérateurs de réseaux mobiles, qui peuvent eux aussi ajouter aux délais.

Donc, je vais l’avoir quand, ma mise à jour ?

Si votre appareil n’est pas un « pur » Android, ne retenez pas votre souffle.

Alors je suis condamné ?

Attendons d’abord de voir si la faille est confirmée. D’ici là, vous pouvez limiter les dégâts en suivant une procédure expliquée par Zimperium.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.