Une fuite de 9 000 documents secrets de la CIA a montré comment l’agence d’espionnage utilise les smartphones et même les smart TV pour obtenir des informations. A Apple dit que ses utilisateurs ne sont pas en danger et que de nombreuses failles de sécurité d’iOS trouvées dans les documents de la chambre forte 7 ont déjà été corrigées ; c’est maintenant au tour de Google.
Dans une note adressée à Recode, Heather Adkins, directrice de la sécurité de l’information et de la vie privée, a déclaré qu’elle est convaincue que les mises à jour de sécurité sur Chrome et Android protègent déjà les utilisateurs contre “de nombreuses” fuites de vulnérabilités. M. Adkins a déclaré qu’ils sont en train de revoir les deux plateformes et, si nécessaire, qu’ils mettront en place d’autres protections.
Dans les documents, l’invasion des appareils fonctionnant sous Android entre 2013 et 2016 a été documentée, avec 24 façons différentes décrites pour envahir le système. On ne sait pas, cependant, si les anciens appareils Android sont également sûrs : selon a Forbes, les documents de la CIA montrent des “dizaines” de vulnérabilités dans les anciennes versions, telles que 4.4 KitKat.
C’est un fait inquiétant. Les rapports font état d’invasions sur des smartphones comme le Samsung Galaxy S5 et Note 3, qui ont été lancés avec le KitKat ou le Jelly Bean – des versions dans lesquelles on trouve aujourd’hui de nombreux appareils. Selon les données de Google, 21 % des appareils Android sont encore dans la version 4.4 KitKat, 33 % dans Lollipop (5.0/5.1), 31 % dans Marshmallow 6.0 et seulement 2,8 % dans la dernière version, le Nougat (7.0/7.1).
En outre, selon les experts entendus par le New York Times, deux problèmes planent sur la suppression de ces vulnérabilités. L’un d’entre eux est l’accès au code lui-même, car la CIA et WikiLeaks sont assis sur des failles de sécurité, mais ils ne présentent pas les logiciels malveillants aux géants de la technologie. Sans beaucoup de profondeur, on ne peut pas faire grand chose en peu de temps.
Oui, il existe un moyen pour les entreprises de demander à la CIA de présenter ces failles de sécurité, appelé VEP (Vulnerability Equities Process), mais c’est un processus bureaucratique et long. Cisco, qui dispose de routeurs exploités par la CIA, a déclaré que sans un accès plus détaillé au code source des outils utilisés par l’agence américaine, elle ne peut pas faire grand-chose.
Un autre problème est l’incertitude de ce qui va arriver. Selon WikiLeaks, ces près de 9 000 documents ne représentent que 1 % du total. Ils ont l’intention de procéder à sept autres fuites importantes au cours de l’année. Fondamentalement, les systèmes étudiés sont peut-être sûrs aujourd’hui, mais pas beaucoup. Certains peuvent même être vulnérables aujourd’hui. Et nous ne pouvons qu’attendre les prochains chapitres.
