Une fois de plus, les spécialistes de la sécurité informatique ont découvert une belle faille. Cette fois, l’alerte émane d’un groupe de recherche en sécurité d’IBM, la X-Force (lien en anglais). Il s’agit ici d’une attaque de type « man in the middle ». Elle permet au hacker d'intercepter et de modifier les échanges réseaux, pour pouvoir pirater n'importe quel smartphone depuis une simple connexion Wifi. Techniquement, les hackers se sont servis d’une faille d’un paquet logiciel utilisé dans certaines applications de Xiaomi. Le problème prend sa source dans l’absence de disposition de chiffrage et de vérification cryptographique lors des mises à jour. Une fois à l’intérieur, rien de plus simple pour le hacker que de remplacer le paquet logiciel et de s’octroyer les privilèges d'administration.
Pour les chercheurs d’IBM, la faille pourrait toucher des millions de portables. En effet, outre les 70 millions de smartphones Xiaomi vendus et potentiellement infectés, il faut ajouter les autres téléphones qui utilisent le système MIUI, disponible gratuitement sur internet. Xiaomi a officiellement réglé le problème sur la dernière version 7.2 du système MIUI.
Ces problèmes de chiffrage ne sont pas nouveaux. De nombreux éditeurs de logiciels antivirus
sont régulièrement mis en cause pour leur faible protection des mises à
jour. Les autorités compétentes leur rappellent que ces échanges
doivent être systématiquement chiffrés, et que les paquets logiciels
doivent être toujours signés. Une piqûre de rappel à priori nécessaire
pour assurer aux utilisateurs une sécurité optimale.
Aucun commentaire:
Enregistrer un commentaire