Meltdown et Spectre : votre smartphone Android est-il sécurisé ?

 
Meldown et Spectre, les deux failles de sécurité qui marqueront l’informatique ont un nom. Hier, nous avons appris que ces failles visaient également Android. Votre smartphone est-il sécurisé ? Réponse en évitant les rouages thechnico-techniques.

De quoi parle t-on ?

Cette semaine, deux failles de sécurité désastreuses sont apparues – et le monde de la technologie est encore en train de faire la liste des dégâts potentiels.

Les failles, baptisées Meltdown et Spectre, affectent presque tous les processeurs fabriqués au cours des 20 dernières années. Meltdown est la menace la plus immédiate, avec des exploits déjà visibles. Heureusement, cette faille concerne en très grande majorité les processeurs Intel.

Spectre est beaucoup plus profond et plus difficile à corriger, ce qui pourrait mener à des générations d’exploits pendant plusieurs années. Ses racines sont plus profondes et les constructeurs vont devoir modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie que certains appareils demeureront vulnérables pendant des mois, voire des années.

Depuis plusieurs semaines, bien avant que les failles soient publiques, les grandes entreprises de technologie se démènent pour se protéger et protéger leurs clients.

 

Quelles sont les menaces ?

Sur un smartphone ou un PC, cette attaque serait très utile pour entraîner une élévation des privilèges : une personne malveillante, un pirate si vous voulez, pourrait ainsi exécuter un logiciel en utilisant un exploit de Spectre.

Vol de données personnelles, détournement d’appareils… du piratage de votre compte Facebook à la récupération et la vente de vos données bancaires, mais aussi à l’attaque massive de services et de sites Web. Vous vous souvenez peut-être de l’entreprise Dyn, qui fournit une partie de l’architecture de base du réseau. Cette dernière avait été prise pour cible par une horde de caméras connectées zombies : ces objets connectés avaient multiplié les connexions jusqu’à saturer ses services. Plusieurs sites majeurs, dont Netflix et le PlayStation Network, ont été rendus indisponibles par cette attaque.

Néanmoins à ce stade, les conséquences pour les utilisateurs lambda devraient être limitées. Cependant, il est difficile d’anticiper les multiples façons dont ces attaques pourront être utilisées à moyen terme par des pirates.

Faire face aux retombées de Spectre et Meltdown sera l’un des problèmes de sécurité informatique les plus difficiles auxquels le monde a été confronté jusqu’à aujourd’hui – et c’est un problème qui ne disparaîtra pas de sitôt. En attendant, il est légitime de se demander si son smartphone Android est sécurisé, la réponse à cette question est plus complexe qu’il n’y paraît.

 

Mon smartphone Android est-il protégé ?

Nous l’avons appris hier, les failles de sécurité qui touchent Intel, AMD et ARM ont des conséquences sur la vulnérabilité d’Android. Même si ces failles n’ont pas encore une incidence directe sur la sécurité de nos smartphones, Google s’emploie à la corriger avec une mise à jour de sécurité. C’est suffisamment grave pour Google, que la firme américaine communique massivement sur le problème et ses solutions.

Les solutions apportées par Google sont multiples. Ils ont déjà appliqué des correctifs sur leurs serveurs (et donc les services Cloud), puis ils ont déployé une mise à jour pour le navigateur Chrome (Chrome 63) que l’on retrouve sur tous les OS. Pour Android, c’est un poil plus compliqué. Le correctif proposé est apporté par la mise à jour de sécurité de janvier, une sorte de bulletin publié tous les mois par Google. D’ailleurs, ce correctif ne corrige pas complètement la faille, il tente de l’isoler.

Ces mises à jour sont importantes, elles permettent d’appliquer des correctifs à tout le système Android, dont le noyau. Il suffit d’examiner l’un des derniers bulletins des mises à jour pour Android datant de janvier 2018 pour voir qu’elles intègrent des correctifs importants, dont certains critiques.

À noter que ces mises à jour mises à disposition couvrent toutes les versions d’Android depuis Android 4.4 KitKat jusqu’à la toute dernière Android 8.0 Oreo. Elles ne dépendant pas du système Android qui équipe votre smartphone. Google se charge de pousser directement ces patchs sur les Pixel pendant une période de trois ans. A titre de comparaison, Apple s’engage sur cinq ans.

Pour les autres appareils Android, dont ceux de Samsung ou de Huawei, les constructeurs partenaires de Google sont systématiquement alertés de la mise à disposition, mais ils restent libres de les appliquer ou non.

Vous pouvez vérifier la mise à jour de sécurité de votre smartphone Android dans les réglages, puis dans « A propos ». Les grands constructeurs sont plutôt de bons élèves, en particulier LG, Sony, OnePlus,Samsung et BlackBerry. Ils devraient donc réagir, plus ou moins rapidement. Enfin, nous utilisons le conditionnel, car ce n’est malheureusement pas si simple.

 

Une mise à jour au bon vouloir du fabricant

En effet, les constructeurs et les opérateurs rechignent toujours à déployer rapidement les mises à jour. Ces mises à jour doivent être optimisées pour chaque appareil, dans chaque pays où ils sont commercialisés mais aussi chez les partenaires où ils sont vendus. Par exemple, les modèles de smartphones vendus par Orange ont des mises à jour différentes des appareils que l’on peut trouver dans les grandes surfaces. De plus, ces intégrations, tests et déploiements sont couteux pour tous les acteurs de la chaîne, en particulier les constructeurs.

Evidemment, vous l’avez certainement remarqué, les constructeurs et les opérateurs n’assurent pas comme ils le devraient les mises à jour de leurs terminaux mobiles. C’est d’ailleurs une des principales critiques du système Android, et Google apporte des solutions avec la dernière mise à jour Oreo (Project Treble).

Autant dire que cette fameuse mise à jour de janvier ne pourra pas être appliquée à l’ensemble des appareils Android en circulation. Il y a trop d’appareils en circulation. Même si 90 % des smartphones sont protégés dans quelques mois, l’hypothèse la plus optimiste, cela laisse des dizaines de millions d’appareils. Des millions d’appareils, il y a plus d’1 milliard d’appareils Android dans le monde, pourraient devenir des zombies pour attaquer des serveurs, par exemple.

 

Le rempart Google

Evidemment, il y a un autre rempart : il s’agit des Google Play Services. Pour comprendre ce que sont les « Google Play Services », il est important de comprendre ce qu’est Android. Pour la majorité des gens, Android est un appareil équipé d’un système d’exploitation de Google. Techniquement, Android est bel et bien un système d’exploitation, mais c’est plus entortillé que cela. Android est avant tout un projet open-source, projet que l’on nomme « Android Open Source Project » (AOSP). Parce qu’il est open-source, une entreprise peut l’utiliser, modifier et distribuer un fork Android, sans impliquer Google.

Evidemment, la très grande majorité des appareils Android est estampillée Google, sauf en Chine. Ce qui signifie que Google a la main mise sur ces appareils, les constructeurs ont pour la plupart signé un accord cadre et ils ont l’obligation de respecter un cahier des charges précis. Du coup, même si 0,5 % seulement des appareils Android tournent sous Oreo, la dernière version Android, plus de 96 % des appareils possèdent la dernière version des Play Services.

Grâce aux Play Services, Google peut déployer rapidement des correctifs de sécurité, ou apporter de nouvelles fonctionnalités sans attendre une mise à jour majeure d’Android. Concernant nos deux failles, Meltdown et Spectre, il semble très peu probable que Google puisse passer par ce moyen pour corriger la faille. En effet, les failles touchent une couche très basse d’Android. Néanmoins, avec les Play Services et Play Protect, Google est dans la capacité de limiter les actions des autres applications. Les applications installées depuis le Play Store, mais aussi depuis une source externe. Ce qui signifie, pour ceux qui ont du mal à suivre, que votre smartphone chinois qui ne reçoit jamais de mises à jour Android a peu de chance de connaître un exploit basé sur les deux failles.

Google peut détecter les applications qui contiennent des exploits Meltdown et les supprimer du Play Store, voir les désinstaller à distance le cas échéant. Ainsi, même si votre téléphone n’est pas à jour, il ne devrait jamais être exploité. Il est important de télécharger vos applications sur le Play Store officiel et d’autoriser Play Protect pour les applications installées hors Play Store.

Cela permet donc de limiter la casse, néanmoins ce dernier rempart n’existe pas pour les millions d’appareils Android qui ne dépendent pas de Google. Ces appareils, dont des millions d’objets connectés, des box TV ou des smartphones chinois, qui fonctionnent sous Android (mais sans Google). Ces derniers dépendent entièrement des constructeurs, on en compte des dizaines de millions.

Du coup, votre smartphone Android ne risque pas grand chose. Néanmoins, votre box Android noname pourrait servir à la prochaine attaque informatique massive.

Pour aller plus loin
Meltdown et Spectre : tout savoir sur les failles de sécurité qui touchent Android, Windows, Chrome OS, macOS et iOS


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).

Les derniers articles