Samsung Galaxy : une faille critique vieille de 5 ans enfin corrigée
Avec des logiciels de plus en plus complexes installés sur nos appareils, il est impossible de garantir un système sans faille. Le plus important est donc de corriger ces failles le plus rapidement possible. Ça n'a malheureusement pas été le cas de la faille CVE-2020-8899 présente sur tous les smartphones Samsung lancés depuis 2015, c'est-à-dire avec le Galaxy S6 il y a plus de 5 ans ! Autant dire que de très nombreux appareils étaient confirmés par cette vulnérabilité.
Un problème d'image
Elle a été découverte par le chercheur en sécurité Mateus Jurczyk travaillant chez Google en janvier 2020, assez récemment. Il s'agit d'une faille critique 0 clic utilisable par l'envoi d'un simple MMS sur le smartphone concerné. Le responsable de cette faille est en fait le codec de compression Qmage utilisé par Samsung sur smartphones.
https://twitter.com/j00ru/status/1258066561719513089
Après avoir été mis au courant en janvier, Samsung a proposé un patch de correction avec la mise à jour de sécurité de mai 2020 (SVE-2020-16747) que l'on vous recommande donc d'installer. Malheureusement, aucun smartphone de 2015 à notre connaissance ne sera éligible à une telle mise à jour. Récemment, Samsung a par exemple mis fin aux mises à jour pour le Galaxy S7 lancé en 2016 et qui faisaient déjà figure d'exceptions pour son extrême longévité.
La politique de mises à jour de sécurité mise en place par Google avec ses partenaires depuis quelques années atteint ici ses limites. Certes le niveau de sécurité s'est amélioré sur Android, puisqu'il n'est plus nécessaire d'attendre une mise à jour majeure du système pour voir des failles être corrigées. Mais le problème de la durée du support persiste, alors que les éditeurs proposaient auparavant des temps de support beaucoup plus long, notamment sur PC. Les mises à jour de sécurité de Windows 7 ont été arrêtées cette année, pour une version du système datant de 2009, soit un peu plus de 10 ans de support.