Un chercheur en sécurité a trouvé très facilement 40 vulnérabilités Zero day sur Tizen, le système d’exploitation de Samsung qui fonctionne sur des millions de produits.

Samsung Z3

Le Samsung Z3, l’un des derniers smartphones de Samsung sous Tizen

Est-ce que vous vous souvenez de Bada ? Nous non plus, mais c’était le système d’exploitation que Samsung avait essayé de développer face à Android suite à l’explosion du marché des smartphones. Son successeur, Tizen, est très populaire sur les smartphones dans des marchés émergeant, comme l’Inde et est utilisé sur de nombreux produits Samsung, comme la récente Gear S3. Samsung aurait même pour projet de se séparer de Google et d’Android le jour ou son système d’exploitation sera assez mature pour ne plus être dépendant de Google.

Mais après l’annonce de Wikileaks sur le développement, par la CIA, d’un outil utilisant une faille sous les Smart TV Tizen, des questions ont commencé à submerger sur ce système d’exploitation présent sur de plus en plus de produits connectés. Amihai Neiderman, un hacker qui s’est fait connaître pour avoir découvert une faille sur le Wi-Fi public de Tel-Aviv qui permettait de récupérer les données qui circulaient via celui-ci, s’est attaqué de plus prêt au système d’exploitation de Samsung.

« C’est peut-être le pire code que je n’ai jamais vu. »

Il a découvert une vulnérabilité qui permet aux personnes mal intentionnées de prendre le contrôle d’un appareil Samsung à distance et même de fournir des mises à jour corrompues du système ou d’applications grâce à une faille sur le TizenStore. « C’est peut-être le pire code que je n’ai jamais vu », a ainsi déclaré Amihai Neiderman à Mohterboard. De nombreux chercheurs avaient découvert des failles similaires avec d’autres appareils Samsung par le passé, mais Tizen avait globalement échappé à un examen approfondi par des experts en sécurité, surement parce qu’il n’est pas utilisé aussi massivement qu’Android et iOS.

Collaboration avec Samsung

Il a également constaté que les développeurs de Tizen n’utilisent pas de chiffrement pour établir une connexion sécurisée lors de la transmission de certaines données personnelles. D’après Neiferman, Samsung devrait reconsidérer le déploiement de Tizen sur les téléphones avant de procéder à une révision majeure de son code. Heureusement, Samsung travaille déjà avec le chercheur sur la résolution de ses failles, mais nous espérons voir bientôt une mise à jour de Tizen et une communication de Samsung dans ce sens avant de voir le système d’exploitation se déployer sur davantage d’appareils électroniques.