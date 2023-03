Une faille majeure découverte dans les puces Exynos de Samsung. Le géant sud-coréen retarde-t-il le déploiement d'un correctif ?

Pendant plusieurs années, les puces Samsung Exynos ont essuyé de nombreuses critiques parce qu’elles n’étaient pas à la hauteur face à l’offre de Qualcomm : piètre autonomie, surchauffe, performances photo et jeux vidéo assez faibles, notamment. Ces soucis sont devenus un vrai cauchemar pour Samsung, ce qui a conduit le géant sud-coréen à ne pas proposer de Galaxy S23 avec puce Exynos en 2023. Les puces Qualcomm devraient désormais équiper les smartphones flagship Samsung pour les années à venir, mais cela ne signifie pas que le fabricant a décidé de les abandonner purement et simplement. Il les réserve pour ses appareils d’entrée et milieu de gamme.

Et alors que l’on pouvait se dire que la situation ne pouvait pas être pire pour ces puces, l’équipe de sécurité de Google Project Zero a découvert une faille majeure de sécurité dans ces composants, et plus précisément dans le firmware utilisé par les modems Exynos. Selon le rapport, des hackers pourraient exploiter cette vulnérabilité en envoyant simplement un SMS malveillant ou en infectant le téléphone en installant une app avec du code malveillant.

Une fois que les hackers ont infecté leur cible, ils pourraient prendre le contrôle du microphone, de la caméra et d’autres capteurs. Pire encore, ils pourraient accéder à des données sensibles stockées sur l’appareil, y compris des mots de passe et des photos. Le post publié sur le blog Project Zero indique aussi que la faille est assez facile à exploiter, même par des équipes ayant assez peu de moyens.

Samsung retarde-t-il le déploiement d’un correctif ?

Au total, l’équipe de Project Zero a détecté pas moins de 18 vulnérabilités différentes affectant les modems Exynos. Quatre d’entre elles sont extrêmement sérieuses et pourraient permettre à des hackers d’accéder au téléphone à distance sans aucune interaction utilisateur. Ceux-ci n’auraient besoin que du numéro de téléphone de leur victime potentielle. Google a refusé de partager davantage de détails quant à cette faille dans la mesure où il peut être exploitée très facilement. Le reste des vulnérabilités identifiées sont de nature assez mineure.

L’équipe de Project Zero est au courant de ces failles depuis la fin de l’année 2022, et elle avait alerté Samsung à ce moment-là. Cependant, le géant sud-coréen n’a toujours pas publié de correctif, alors que cela fait plus de trois mois qu’il est au courant. Un chercheur de Project Zero a même critiqué publiquement Samsung, lui reprochant de trainer les pieds pour proposer un patch.

La liste des appareils affectés par ces vulnérabilités comprend le flagship de l’année dernière, à savoir le Samsung Galaxy S23, deux appareils de la gamme M – les Galaxy M33 et M13 -, plusieurs de la gamme A – A71, A53, A33, A21s, A13, A12 et A04 – ainsi que les Google Pixel 6 et Pixel 7. Outre ces appareils, cette faille affecte aussi plusieurs appareils Vivo qui utilise le même modem Exynos. Il s’agit des Vivo S16, s15, S6, X70, X60 et X30. Google a indiqué que la mise à jour de sécurité de mars corrigera ces failles pour les appareils Pixel.