Une faille zero-day découverte dans Android… par Google
Nos systèmes et logiciels informatiques sont soumis aux bugs et autres failles de sécurité, plus ou moins désagréables, plus ou moins dangereux. Android n'échappe évidemment pas à la règle. Aujourd'hui, c'est Google qui vient de découvrir une nouvelle faille zero-day.
Comme vous le peut-être si vous suivez l’actualité IT, l’équipe Project Zero de Google est un regroupement de chercheurs en sécurité qui ont pour mission de détecter des vulnérabilités et autres failles dans les applications et services, du géant de Mountain View mais pas uniquement. L’équipe publie aussi régulièrement ses découvertes pour sensibiliser le grand public. Aujourd’hui, il semblerait que leur dernière découverte en date soit une faille zero-day dans Android.
Project Zero découvre une faille zero-day dans Android
On pourrait penser que l’équipe de Project Zero donnerait à ses propres collègues un peu plus de marge de manœuvre mais cela desservirait tout le monde finalement. Ils restent tout à fait neutres dans leur manière de fonctionner, tant mieux. Cela étant dit, la faille en question affecte plusieurs appareils Android très populaires, dont les Samsung Galaxy S7, S8 et S9, les Google Pixel 1 et 2 ainsi que le Huawei P20. Ce qui touche tout de même quelques millions de smartphones.
Une faille déjà corrigée en Décembre 2017 mais oubliée depuis
Ce qui est étrange avec cette faille en particulier, c’est qu’elle a été corrigée une première fois en Décembre 2017 mais pour on ne sait trop quelle raison, le correctif n’a pas été reportée dans les versions suivantes d’Android. Résultat de l’opération, Android 8.x et les versions ultérieures sont affectées. Cela étant dit, malgré le fait que la faille soit classée zero-day, elle n’est pas aussi dangereuse que l’on pourrait le penser. En effet, il ne s’agit pas d’une faille basée sur une exécution de code à distance. Autrement dit, elle ne peut pas être exploitée sans interaction par l’utilisateur. Et il faut que certaines conditions soient réunies pour que la faille soit utilisable. Toujours est-il qu’une faille reste une faille. Google devrait certainement proposer un correctif très bientôt.