Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, chargé de l'actu.
Publié le 09 août 2021 à 11h43
© Free-Photos / Pixabay
© Free-Photos / Pixabay

Désormais corrigée, la vulnérabilité consistait en un bug logiciel qui pouvait transformer les Amazon Kindle en robot ou compromettre le réseau local de l'utilisateur ou utilisatrice.

Le succès de Kindle n'est pas démenti, avec des dizaines de millions d'appareils vendus depuis la commercialisation par Amazon de la petite liseuse qu'il est, depuis 2007, possible de se trimbaler un peu partout. Mais Check Point Research a fait une nouvelle révélation de taille, il y a quelques jours, en dévoilant une vulnérabilité par le biais de sa spécialiste en cybersécurité, Slava Makkaveev. Celle-ci explique que durant des années, des dizaines de millions de personnes, propriétaires d'un Kindle, auraient pu être piratées du fait d'un bug logiciel.

Un défaut de protection autour du livre électronique

Check Point Research explique que la vulnérabilité en question a été découverte il y a quelques mois, puis signalée en février 2021 à Amazon, avant que le géant du e-commerce ne la corrige dans sa version 5.13.5. Cette version, publiée en avril 2021, est d'ailleurs automatiquement installée dès lors qu'un Kindle est connecté à Internet. Si l'orage est donc passé, il était jusque-là possible de faire d'un Kindle un robot et de compromettre un réseau local privé, avec de fâcheuses conséquences potentielles, comme le vol d'informations bancaires, entre autres.

Pour d'éventuels pirates, il était possible d'accéder à distance au Kindle d'un utilisateur ou utilisatrice grâce à un ebook. Plus en détails, un livre électronique malveillant pouvait être publié et être disponible en libre accès depuis n'importe quelle bibliothèque virtuelle, ce qui comprenait évidemment le Kindle Store, la boutique de livres électroniques d'Amazon. Le tout par l'intermédiaire du service « auto-édition » ou par l'envoi du livre directement sur l'appareil de l'utilisateur ou utilisatrice, cette fois à l'aide du service « envoyer sur le Kindle » d'Amazon.

Ce qui accentuait le risque de piratage, c'est que dans une optique de sécurité informatique et dans l'imaginaire collectif, personne ne s'attend véritablement à télécharger un livre électronique qui puisse être malveillant. Les antivirus n'ont en effet pas de signatures pour les ebooks.

Une exécution de code caché potentielle pouvant causer des dommages irréparables

Pour entrer dans des détails un peu plus techniques, l'ouverture d'un livre malveillant sur Kindle, comme les chercheurs de Check Point Research ont pu l'expérimenter, aurait très bien pu entraîner l'exécution d'un morceau de code caché grâce aux droits d'administrateur. Cela aurait alors privé l'utilisateur ou utilisatrice du contrôle de sa liseuse.

L'entreprise cyber nous explique que la simple ouverture d'un ebook malveillant aurait entraîné des dommages irréparables, justement parce que le code malveillant aurait été exécuté avec les droits de l'utilisateur root. Le cybercriminel qui aurait eu l'opportunité de diffuser un tel livre aurait eu un accès complet au compte Amazon de l'utilisateur ou utilisatrice. Cela lui aurait permis, comme nous l'expliquions plus haut, de faire du Kindle un robot pouvant attaquer également d'autres appareils reliés à son réseau local.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, chargé de l'actu

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (1)
pascalreedsmith

Bof, Kindle, c’est bloqué sur les livres vendus par Amazon et leur format propriétaire.
Alors oui ça se contourne aisément en convertissant les livres sur Calibre, mais franchement, qui a envie de faire ça alors que les autres marques, parois certes un peu plus chères de quelques euros, lisent TOUS les formats ?

Sinon je suis étonné qu’une simple liseuse connectée sur un réseau puisse le compromettre à ce point. Probablement que ça ne fonctionne que quand elle est connectée au wifi, mode par défaut pour les Kindle avec publicité, alors qu’en général on désactive le réseau pour profiter d’une meilleure autonomie.