En oubliant de renouveler un nom de domaine, Samsung aurait pu provoquer le piratage de millions de smartphones.

En informatique, la sécurité des utilisateurs peut-être remise en cause par une mauvaise action. Néanmoins, on peut avoir tendance à oublier que l’inaction est parfois tout aussi néfaste. La récente boulette commise par Samsung est là pour nous le rappeler.

Le fabricant sud-coréen a oublié de renouveler un nom de domaine, mettant ainsi potentiellement en péril la sécurité des millions de smartphones, comme on l’apprend sur le site Motherboard. Pour bien comprendre le souci, il faut remonter quelques années en arrière, quand les terminaux de Samsung proposaient nativement une application baptisée S Suggest.

L’application S Suggest mise en cause

Celle-ci se présentait sous la forme d’un widget sur l’écran d’accueil et proposait d’installer une sélection d’applications. S Suggest permettait aussi de montrer à vos contacts les apps que vous installiez grâce à l’intégration d’un plug-in Facebook. Samsung a mis fin à S Suggest en 2014.

Or, ce n’est pas parce que le constructeur n’assurait plus le suivi de son application que celles-ci n’étaient plus utilisées par certains consommateurs. Il est impossible de définir leur nombre exact, mais on peut facilement supposer qu’une pléthore se sert encore de smartphones de la marque sortis avant 2014.

Une faille qui aurait pu coûter cher

C’est pourquoi le fait que Samsung n’ait pas renouvelé le nom de domaine de ssuggest.com — un site qui permet de contrôler l’application S Suggest — pose problème. D’après João Gouveia, le spécialiste de la sécurité informatique ayant repéré la faille, un hacker malintentionné aurait facilement pu prendre le contrôle des smartphones sur lesquels S Suggest est installé.

La boulette…

Il explique en effet que les autorisations de S Suggest lui permettent de redémarrer le téléphone et d’installer des applications. On imagine facilement le danger encouru si le domaine était tombé entre de mauvaises mains. Notons que Samsung contredit João Gouveia et affirme que l’accès au nom de domaine « ne permet pas d’installer des applications malveillantes et de contrôler les téléphones des utilisateurs ».

João Gouveia affirme avoir réglé le souci en s’emparant du domaine. Pour avoir une idée du nombre d’utilisateurs de S Suggest, ce dernier a indiqué qu’il a comptabilisé 620 millions d’inscriptions et de connexion en 24 heures provenant de 2,1 millions d’appareils différents.

Les autorisations de S Suggest (image : Motherboard / João Gouveia).

Pour terminer sur une note anxiogène, rappelons que Samsung avait déjà été pointé du doigt pour le manque de sécurité de ses services quand un expert avait découvert 40 failles 0-Day sur Tizen. « C’est peut-être le pire code que je n’ai jamais vu », avait-il déclaré.