Ce n’est pas le bon moment pour les utilisateurs d’Android. Quelques jours après la découverte de QuadRooter, une faille qui met en danger plus de 900 millions d’Androïdes équipés de puces Qualcomm, une nouvelle faille a été révélée qui permet l’interception de 80 % des Androïdes, soit environ 1,4 milliard d’appareils. La vulnérabilité se trouve dans le noyau Linux, qui est à la base d’Android.
Le problème a été signalé ce lundi (15) par la société de sécurité Lookout. L’estimation est que toutes les versions d’Android avec le noyau Linux 3.6 sont vulnérables, ce qui signifie que l’écart affecte particulièrement les appareils avec Android 4.4 KitKat ou plus. La correction n’a été effectuée sur le noyau que jeudi (11), de sorte que même le dernier Developer Preview de Android 7.0 Nougat n’est pas immunisé.
Cette faille a de graves conséquences, même s’il n’est pas si simple de l’exploiter. En profitant de la vulnérabilité, une personne peut savoir quand son appareil se connecte à un serveur ? il est possible de savoir, par exemple, si vous accédez ou non au PerlmOl sur votre Android en ce moment. Si la connexion n’est pas cryptée, un criminel peut injecter un code malveillant dans la page. Si c’est le cas, vous pouvez toujours fermer la connexion et forcer l’utilisateur à accéder à une version non cryptée.
Un moyen pratique d’exploiter cette faille, comme le souligne Ars Technica, consiste à injecter un code JavaScript dans la page qui affiche une fenêtre indiquant que vous avez été déconnecté du service auquel vous accédez maintenant ? et à vous diriger ensuite vers une fausse page qui capture vos données de connexion et de mot de passe. Comme le processus d’injection du code est un peu long (il peut prendre jusqu’à 45 secondes), il est peu probable que l’échec soit exploré à grande échelle comme dans QuadRooter, mais pas impossible.
Et que pouvez-vous faire ?
Avant de commencer, il est important de vérifier si vous êtes vulnérable. Un moyen “simple” est d’interroger la valeur du paramètre ?net.ipv4.tcp_challenge_ack_limit ? sur votre Android. Vous pouvez le faire en ouvrant un shell dans ADB ou, plus facilement, en installant un terminal (j’utilise le terminal émulateur). Ensuite, lancez ?sysctl net.ipv4.tcp_challenge_ack_limit ? S’il affiche une valeur inférieure à 1000, vous êtes sujet à un échec.
Et comme votre appareil est presque certainement défaillant, il existe deux (ou trois) moyens d’empêcher que votre connexion soit interceptée et que des codes malveillants soient injectés dans les pages auxquelles vous accédez.
Tous les sites auxquels vous accédez n’ont pas une connexion sécurisée (PerlmOl en a une, comme vous pouvez le voir dans le cadenas de la barre d’adresse). Ainsi, une façon de forcer le cryptage est d’utiliser un VPN ? avec cela, votre connexion passera par un tunnel sécurisé, qui empêche le contenu de la page de changer. La plupart des services VPN de confiance sont payants ; certains sont gratuits, mais le produit peut finir par être vous.
L’autre moyen est, si vous êtes root et familier avec Linux, de changer la valeur de net.ipv4.tcp_challenge_ack_limit en quelque chose de vraiment gros, comme 9999999, ce qui empêchera l’exploitation de l’échec. Voici une documentation de l’outil sysctl, utilisé dans cette méthode (il est étrange que quelqu’un n’ait pas encore développé un outil qui automatise ce processus).
Mais pour la plupart des gens, la solution consiste à attendre la mise à jour de sécurité Android de septembre, qui résoudra ce problème et d’autres (et, espérons-le, vous l’obtiendra). D’ici là, il est bon de garder un œil sur tout ce qui est étrange et qui apparaît sur les sites que vous visitez fréquemment.
