Knox, la solution de sécurité de Samsung qui est intégrée à Android Lollipop, a connu une grave faille de sécurité au printemps dernier. Samsung l’a corrigée, mais de manière partielle puisque certains terminaux restent encore vulnérables.

Samsung Knox Android L

Knox est une solution de sécurité pour Android développée par Samsung. Le gouvernement américain a récemment autorisé l’usage de smartphones équipés de Knox dans l’administration, que ce soit à la NSA ou dans les autres agences qui requièrent un niveau élevé de sécurité et de confidentialité. La technologie Knox est également présente par défaut dans Android Lollipop avec des usages qui sont plutôt réservés aux entreprises. Mais la solution de Samsung a été victime d’une grave faille de sécurité découverte lors de la sortie du Galaxy S5 en avril dernier. Le géant coréen a corrigé la faille lors de la sortie des Galaxy Alpha et Galaxy Note 4 puis a mis à jour le Galaxy S5 en octobre pour supprimer la vulnérabilité. Mais de nombreux modèles sont encore vulnérables, à l’image des Galaxy S4, Note 3 ou encore Ace 4.

La faille est plutôt grave puisqu’elle permet à un connaisseur d’installer n’importe quelle application (y compris un logiciel malveillant) sur les terminaux équipés de Knox. L’utilisateur doit cliquer sur un lien (soit sur une page web, ou dans un mail) qui va lui demander de mettre à jour la solution de sécurité de Samsung. Mais c’est finalement une application potentiellement vérolée qui s’installera sans que l’utilisateur s’en rende forcément compte.

De nombreuses failles de sécurité sont découvertes chaque jour et le plus problématique n’est pas que Knox soit vulnérable, mais que Samsung ait pris son temps pour corriger la faille sur le Galaxy S5 et laisse des terminaux plus anciens vulnérables. Ce n’est d’ailleurs pas la seule faille découverte puisqu’un autre chercheur avait pointé du doigt une gestion un peu archaïque des mots de passe et conseillait alors l’utilisation du chiffrement de base d’Android. Pourtant, Knox a de nombreuses fonctionnalités pour plaire aux entreprises comme la création d’un profil sécurisé pour le lancement des applications internes à l’entreprise sur un smartphone également utilisé pour un usage personnel.

En théorie, la solution de Google basée sur Knox pour Lollipop ne devrait pas être touchée par ces deux failles puisque seules certaines fonctionnalités ont été reprises de la solution de Samsung.