Ce qui arrive à certains smartphones chinois est grave. Super-malware, backdoor, spyware, ce sont effectivement des mots qui font peur. Pour comprendre le sujet, voici six questions et six réponses sur les backdoors.

backdoor

 

Notre résumé en vidéo

Lien Youtube
Chaine Youtube FrAndroid

 

Que s’est-il passé sur les smartphones BLU ?

Dans le cas du spyware chinois, c’est Kryptowire qui a détecté le backdoor, ils affirment ainsi avoir identifié plusieurs modèles d’appareils mobiles Android qui contenaient un firmware infecté par une société nommée Shanghai Adups Technology Co Ltd. Adups. Les données étaient envoyées toutes les 72 heures, à travers deux activités : com.adups.fota.sysoper et com.adups.fota.

blu_r1_hd_1479287259125

Le backdoor en question était directement présent au sein du firmware du smartphone, il servait à communiquer avec un serveur en Chine. Ensuite, à travers ce backdoor, il était possible de lancer des commandes root, et récupérer les journaux d’appels, SMS, listes des contacts, les historiques de géolocalisation, les données des applications… à peu près tout. Nous employons le passé, car Adups et ses partenaires ont déclaré que le sujet avait été réglé sur les milliers de smartphones en circulation.

Pour information, Adups fournit les firmwares pour différentes marques, comme BLU présent aux États-Unis, mais aussi certains modèles de Huawei et ZTE. Cette entreprise a conçu et déployé tout un système de gestion de flottes, pour suivre et surveiller un parc d’appareils Android, mais aussi pousser et vérifier des mises à jour OTA. D’après l’entreprise, ce firmware était réservé au marché chinois et n’aurait jamais dû se retrouver sur des produits vendus aux États-Unis. Nous sommes dans le cas précis où le système de mise à jour du système, et en particulier du firmware (FOTA), est fourni par une entreprise externe, ce qui n’est pas le cas pour tous les constructeurs.

Qu’est-ce qu’un backdoor ?

Le backdoor se traduit par « porte dérobée » en français. Pour vulgariser le backdoor, dites-vous qu’il s’agit d’un virus qui infecte les machines. Son rôle est de laisser une porte ouverte (un port) dès qu’il y a une connexion active. Son action ne se limite pas toujours à ça. Comme si vous aviez laissé la porte de votre appartement ouverte, différents services peuvent ensuite rentrer et y dérober ce qu’ils souhaitent. Dans le cas d’un smartphone, des données privées par exemple. En général, ce genre de porte dérobée est utilisé pour l’entretien et la maintenance des logiciels ou d’un système.

Les backdoors ont gagné en notoriété en 2013 lorsque des documents de la NSA mis en ligne par Edward Snowden ont révélé que depuis des décennies l’agence d’espionnage mettait la pression aux différents acteurs de l’industrie pour installer des backdoors dans leurs produits. Ils ont notamment mis la pression sur les développeurs de systèmes de chiffrement. Ces backdoors secrets permettent aux agences de renseignement de contourner les protections de sécurité et les systèmes d’accès aux données.

 

Comment un backdoor peut-il se retrouver sur votre Android ?

Ce fameux backdoor peut être présent nativement dans votre système, ou apparaître suite à des failles de sécurité ou diverses actions potentiellement dangereuses, comme l’installation d’apps piratées.

Sur Android, le nombre d’attaques enregistrées qui exploitent directement des faiblesses dans l’OS reste faible, mais cela ne signifie pas que votre smartphone est sain. Les applications du Google Play sont régulièrement contrôlées pour protéger les utilisateurs, par ailleurs Google a mis en place un certain nombre de mesures de protection dans le système d’exploitation Android lui-même.

Comme vous le savez sûrement, votre système exécute des applications qui sont composées de plusieurs écrans nommés Activités. Elles peuvent également exécuter des tâches en arrière-plan (ex : Google Now qui affiche la météo lorsque vous changez de lieu) qui se nomment services. Ces activités qui apparaissent comme des « packages » sont très diverses : des activités essentielles, comme les Google Play Services, mais aussi de simples applications qui sont ouvertes. Chaque application possèdent des autorisations différentes, qui sont soit accordées automatiquement (accéder à Internet), soit demandées à l’utilisateur (accéder à la géolocation).

screenshot_20161116-175359

Pour lister ces applications, c’est assez simple : il suffit d’aller dans les paramètres de votre appareil Android, dans Applications. Vous pouvez ensuite afficher également les processus système. Si le mode développeur de votre appareil est activé, vous pouvez également lancer la commande « pm list packages« . Notez qu’il est possible d’arrêter certaines activités, de les désinstaller (pm uninstall), d’en désactiver d’autres (pm disable) et une petite minorité ne peuvent pas être arrêtées par les utilisateurs. Ce qui est normal, vous avez des activités sensibles et essentielles, comme la plateforme Android.

pm-list

Google a réagi rapidement à la déclaration de Kryptowire, car Android a souvent été visé par des attaques, vous vous souvenez sûrement de Master Key, FakeID ou le célèbre heartbleed. Sur un appareil équipé des Google Play Services, l’entreprise californienne doit s’assurer que les données ne soient pas compromises. Ils pourraient, par exemple, choisir de désactiver à distance tous les appareils équipés d’un firmware conçu par Adups.

À l’avenir, Google pourrait modifier ces pratiques, mais c’est encore un sujet très sensible. Apple a également des problèmes de vérification sur des problématiques similaires.

 

Comment détecter un backdoor ?

Comme vous pouvez l’imaginer, il est compliqué de détecter ces fameuses backdoor. Selon Édouard Marquez, développeur Android, « il faudrait surveiller toutes les données qui sortent de votre smartphone« , on peut ainsi utiliser un « sniffer » par exemple. Mais la tâche est très compliquée. Un des conseils est d’utiliser un pare-feu, ce qui vous permet de surveiller les connexions entrantes et sortantes de votre appareil, vous en avez certainement installé un sur votre PC. Mais cela ne va pas garantir la sécurité de votre appareil.

Dans le cas du backdoor chinois, l’application (via un service) avait un accès direct au firmware pour récupérer, exécuter et déployer des mises à jour du système, il s’agit directement du système FOTA. Un service censé être de confiance, il est fourni nativement avec le smartphone.

 

Qu’est-ce qu’il se passe quand une vulnérabilité est détectée ?

Une fois que la vulnérabilité est détectée, Google et ses partenaires développent un correctif. Il peut être déployé directement par le constructeur, mais aussi par l’opérateur ainsi que par Google. Vous n’avez pas besoin, dans certains cas, de faire une mise à jour OTA, Google met à jour ses Play Services à distance pour déployer le correctif.

En attendant le correctif, il est toujours possible d’utiliser une solution de sécurité ou de combler la faille manuellement. Nous pourrions vous proposer de rooter votre appareil avec KingRoot, par exemple, afin de stopper et désinstaller plus facilement les activités potentiellement dangereuses, mais c’est le cas le plus extrême. Kingroot exploite les vulnérabilités du système pour obtenir un accès root, ce qui peut également donner accès à votre appareil.

 

Comment se protéger ?

Dans le cas précis d’un backdoor, vous pouvez utiliser un VPN ou un pare-feu. Ces derniers vont vous permettre de filtrer les échanges de données, de les surveiller et de les bloquer si nécessaire. Néanmoins, la mise en place reste complexe, car il est difficile d’identifier au préalable les serveurs recueillant des données personnelles. Ces solutions peuvent potentiellement affecter les performances et l’autonomie de votre appareil si la configuration n’est pas complète. Imaginez que le pare-feu, par exemple, bloque les ports utilisés par des apps saines. Pour information, Android intègre néanmoins nativement iptables en tant que pare-feu.

Enfin, vous pouvez également utiliser diverses solutions de sécurité pour vérifier la présence de malwares et autres problèmes de sécurité, comme les deux applications suivantes.

Notez que ces solutions ne doivent pas être vues comme des anti-virus, inutiles sur Android, mais comme des systèmes d’alerte. Ils vont scanner vos apps et vous prévenir sur un potentiel problème.

Plus globalement, il est important d’être vigilant. Nous avons trouvé ce type de backdoor sur des smartphones achetés en Chine. Lorsque nous importons des smartphones Xiaomi, par exemple, ils comportent des OS modifiés pour y intégrer des traductions, mais aussi les Google Play Services. Certains fournisseurs en profitent pour y installer des backdoors, c’est pour cela que nous vous conseillons de re-installer entièrement l’OS sur ces smartphones. Pour un smartphone vendu en France, normalement Google, les opérateurs mobiles et les constructeurs veillent à les sécuriser.