Faille Stagefright : l’histoire n’est pas encore terminée

Voilà que la faille Stagefright sur Android refait parler d'elle. En effet, le patch distribué par Google et les autres constructeurs ne résout pas le problème.

La faille Stagefright, découverte récemment, pourrait rendre vulnérables aux attaques près d’un milliard d’appareils fonctionnant sous Android. Le correctif qui a ensuite été distribué s’avère au final insuffisant, la faille n’étant que partiellement comblée. C’est un chercheur en sécurité de chez Exodus qui a découvert ce nouveau problème dans le correctif.

Stagefright : le problème n’est toujours pas résolu

Décidément, la faille Stagefright est comme un feuilleton à rebondissements. On pensait l’histoire terminée après le déploiement d’un correctif mais en fait il n’en est rien. Celui-ci est incomplet et 950 millions de terminaux Android restent vulnérables.

Stagefright est le nom d’une bibliothèque sur Android qui gère les formats de fichiers vidéo. Une faille permet d’envoyer du code malveillant par l’intermédiaire d’une vidéo envoyée par MMS. Un pirate pourrait ainsi potentiellement prendre le contrôle de l’appareil. Google avait bien publié un premier correctif à destination des Nexus et également des principaux constructeurs de smartphones (Samsung, LG,  Sony, HTC, etc.) mais un chercheur en sécurité, Jordan Gruskovnjak, qui travaille chez Exodus, a découvert que le patch, initialement fourni par Joshua Drake de Zimperium à Google, était incomplet et que par conséquent la faille reste exploitable. “Selon des sources publiques, de nombreux soucis supplémentaires ont été découverts depuis que j’ai signalé les bugs dans le traitement du MPEG4. Je pense que nous continuerons à voir des correctifs pour le code de Stagefright dans les mois qui viennent. L’histoire est loin d’être terminée” déclarait ce dernier.

La sécurité sur Android toujours en question

Android est malmené ces derniers temps avec la découverte de failles et cette histoire de patch incomplet n’est pas prête de redorer son blason. Suite à ces problèmes à répétition, Google a annoncé qu’il allait mettre en place des mises à jour de sécurité tous les mois. Les constructeurs de smartphones devraient lui emboiter le pas.

Le problème est que ces mises à jour ne seront certainement déployées que sur les modèles de smartphones les plus récents et ne concerneront pas les versions d’Android plus anciennes qui elles resteront vulnérables.