Google a discrètement corrigé une faille USB qui exposait plus d’un milliard d’appareils Android
Au cours de la première semaine de février, Google a publié son habituel bulletin de sécurité Android, détaillant les failles de sécurité qui ont été corrigées pour renforcer la sécurité de la plateforme. Ces failles sont généralement déclarées une fois corrigées, sauf circonstances particulières.
Février est l'une de ces rares situations où une faille de haute gravité au niveau du noyau était encore activement exploitée au moment de la publication du bulletin. "Il y a des indications que CVE-2024-53104 pourrait faire l'objet d'une exploitation limitée et ciblée", indique la note de publication .
La faille a été signalée pour la première fois par des experts d' Amnesty International , qui la décrivent comme une « écriture hors limite dans le pilote USB Video Class (UVC) ». Les chercheurs ajoutent que puisqu'il s'agit d'un exploit au niveau du noyau, il affecte plus d'un milliard d'appareils Android, quelle que soit l'étiquette de la marque.
Puisqu'il s'agit d'un exploit zero-day, seuls les attaquants connaissent son existence, à moins que les experts en sécurité ne détectent sa présence, ne développent un correctif avec l'équipe de la plateforme, puis le diffusent largement sur tous les appareils concernés. Deux autres vulnérabilités, CVE-2024-53197 et CVE-2024-50302, ont été corrigées au niveau du noyau, mais n'ont pas été complètement corrigées au niveau du système d'exploitation par Google.
Le bassin d’impact est vaste
Le pool d’appareils concernés est l’écosystème Android, tandis que le vecteur d’attaque est une interface USB. Plus précisément, nous parlons d'exploits zero-day dans les pilotes USB du noyau Linux, qui permettent à un acteur malveillant de contourner la protection de l'écran de verrouillage et d'obtenir un accès privilégié de niveau profond à un téléphone via une connexion USB.
Dans cette affaire, un outil proposé par Cellebrite aurait été utilisé pour déverrouiller le téléphone d'un étudiant militant serbe et accéder aux données qui y sont stockées. Plus précisément, un kit Cellebrite UFED a été déployé par les forces de l'ordre sur le téléphone de l'étudiant militant, sans l'en informer ni obtenir son consentement explicite.
Amnesty affirme que l'utilisation d'un outil comme Cellebrite – qui a été utilisé à mauvais escient pour cibler largement des journalistes et des militants – n'était pas légalement sanctionnée. Le téléphone en question était un Samsung Galaxy A32, tandis que l'appareil Cellebrite a pu briser la protection de son écran de verrouillage et obtenir un accès root.
"Les fournisseurs d'Android doivent de toute urgence renforcer les fonctionnalités de sécurité défensives pour atténuer les menaces provenant de connexions USB non fiables sur les appareils verrouillés", indique le rapport d'Amnesty. Ce ne sera pas la première fois que le nom de Cellebrite apparaît dans l'actualité.
La société vend ses outils d’analyse médico-légale aux forces de l’ordre et aux agences fédérales aux États-Unis et dans plusieurs autres pays, leur permettant de se frayer un chemin par la force dans les appareils et d’en extraire des informations critiques.
En 2019, Cellebrite a affirmé qu'elle pouvait déverrouiller n'importe quel appareil Android ou Apple à l'aide de son dispositif universel d'extraction médico-légale. Cependant, cela a également soulevé des préoccupations éthiques et des alarmes en matière de confidentialité concernant l’utilisation déloyale par les autorités à des fins de surveillance, de harcèlement et de ciblage des lanceurs d’alerte, des journalistes et des militants.
Il y a quelques mois, Apple a également discrètement renforcé les protocoles de sécurité avec la mise à jour iOS 18.1 , dans le but de bloquer l'accès non autorisé aux smartphones verrouillés et d'empêcher l'exfiltration d'informations sensibles.