Désormais corrigée, la vulnérabilité consistait en un bug logiciel qui pouvait transformer les Amazon Kindle en robot ou compromettre le réseau local de l'utilisateur ou utilisatrice.
Le succès de Kindle n'est pas démenti, avec des dizaines de millions d'appareils vendus depuis la commercialisation par Amazon de la petite liseuse qu'il est, depuis 2007, possible de se trimbaler un peu partout. Mais Check Point Research a fait une nouvelle révélation de taille, il y a quelques jours, en dévoilant une vulnérabilité par le biais de sa spécialiste en cybersécurité, Slava Makkaveev. Celle-ci explique que durant des années, des dizaines de millions de personnes, propriétaires d'un Kindle, auraient pu être piratées du fait d'un bug logiciel.
Un défaut de protection autour du livre électronique
Check Point Research explique que la vulnérabilité en question a été découverte il y a quelques mois, puis signalée en février 2021 à Amazon, avant que le géant du e-commerce ne la corrige dans sa version 5.13.5. Cette version, publiée en avril 2021, est d'ailleurs automatiquement installée dès lors qu'un Kindle est connecté à Internet. Si l'orage est donc passé, il était jusque-là possible de faire d'un Kindle un robot et de compromettre un réseau local privé, avec de fâcheuses conséquences potentielles, comme le vol d'informations bancaires, entre autres.
Pour d'éventuels pirates, il était possible d'accéder à distance au Kindle d'un utilisateur ou utilisatrice grâce à un ebook. Plus en détails, un livre électronique malveillant pouvait être publié et être disponible en libre accès depuis n'importe quelle bibliothèque virtuelle, ce qui comprenait évidemment le Kindle Store, la boutique de livres électroniques d'Amazon. Le tout par l'intermédiaire du service « auto-édition » ou par l'envoi du livre directement sur l'appareil de l'utilisateur ou utilisatrice, cette fois à l'aide du service « envoyer sur le Kindle » d'Amazon.
Ce qui accentuait le risque de piratage, c'est que dans une optique de sécurité informatique et dans l'imaginaire collectif, personne ne s'attend véritablement à télécharger un livre électronique qui puisse être malveillant. Les antivirus n'ont en effet pas de signatures pour les ebooks.
Une exécution de code caché potentielle pouvant causer des dommages irréparables
Pour entrer dans des détails un peu plus techniques, l'ouverture d'un livre malveillant sur Kindle, comme les chercheurs de Check Point Research ont pu l'expérimenter, aurait très bien pu entraîner l'exécution d'un morceau de code caché grâce aux droits d'administrateur. Cela aurait alors privé l'utilisateur ou utilisatrice du contrôle de sa liseuse.
L'entreprise cyber nous explique que la simple ouverture d'un ebook malveillant aurait entraîné des dommages irréparables, justement parce que le code malveillant aurait été exécuté avec les droits de l'utilisateur root. Le cybercriminel qui aurait eu l'opportunité de diffuser un tel livre aurait eu un accès complet au compte Amazon de l'utilisateur ou utilisatrice. Cela lui aurait permis, comme nous l'expliquions plus haut, de faire du Kindle un robot pouvant attaquer également d'autres appareils reliés à son réseau local.
Source : Check Point Research
