Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps

09 août 2021 à 11h40
2
Kindle ebook © Free-Photos / Pixabay
© Free-Photos / Pixabay

Désormais corrigée, la vulnérabilité consistait en un bug logiciel qui pouvait transformer les Amazon Kindle en robot ou compromettre le réseau local de l'utilisateur ou utilisatrice.

Le succès de Kindle n'est pas démenti, avec des dizaines de millions d'appareils vendus depuis la commercialisation par Amazon de la petite liseuse qu'il est, depuis 2007, possible de se trimbaler un peu partout. Mais Check Point Research a fait une nouvelle révélation de taille, il y a quelques jours, en dévoilant une vulnérabilité par le biais de sa spécialiste en cybersécurité, Slava Makkaveev. Celle-ci explique que durant des années, des dizaines de millions de personnes, propriétaires d'un Kindle, auraient pu être piratées du fait d'un bug logiciel.

Un défaut de protection autour du livre électronique

Check Point Research explique que la vulnérabilité en question a été découverte il y a quelques mois, puis signalée en février 2021 à Amazon, avant que le géant du e-commerce ne la corrige dans sa version 5.13.5. Cette version, publiée en avril 2021, est d'ailleurs automatiquement installée dès lors qu'un Kindle est connecté à Internet. Si l'orage est donc passé, il était jusque-là possible de faire d'un Kindle un robot et de compromettre un réseau local privé, avec de fâcheuses conséquences potentielles, comme le vol d'informations bancaires, entre autres.

Pour d'éventuels pirates, il était possible d'accéder à distance au Kindle d'un utilisateur ou utilisatrice grâce à un ebook. Plus en détails, un livre électronique malveillant pouvait être publié et être disponible en libre accès depuis n'importe quelle bibliothèque virtuelle, ce qui comprenait évidemment le Kindle Store, la boutique de livres électroniques d'Amazon. Le tout par l'intermédiaire du service « auto-édition » ou par l'envoi du livre directement sur l'appareil de l'utilisateur ou utilisatrice, cette fois à l'aide du service « envoyer sur le Kindle » d'Amazon.

Ce qui accentuait le risque de piratage, c'est que dans une optique de sécurité informatique et dans l'imaginaire collectif, personne ne s'attend véritablement à télécharger un livre électronique qui puisse être malveillant. Les antivirus n'ont en effet pas de signatures pour les ebooks.

Une exécution de code caché potentielle pouvant causer des dommages irréparables

Pour entrer dans des détails un peu plus techniques, l'ouverture d'un livre malveillant sur Kindle, comme les chercheurs de Check Point Research ont pu l'expérimenter, aurait très bien pu entraîner l'exécution d'un morceau de code caché grâce aux droits d'administrateur. Cela aurait alors privé l'utilisateur ou utilisatrice du contrôle de sa liseuse.

L'entreprise cyber nous explique que la simple ouverture d'un ebook malveillant aurait entraîné des dommages irréparables, justement parce que le code malveillant aurait été exécuté avec les droits de l'utilisateur root. Le cybercriminel qui aurait eu l'opportunité de diffuser un tel livre aurait eu un accès complet au compte Amazon de l'utilisateur ou utilisatrice. Cela lui aurait permis, comme nous l'expliquions plus haut, de faire du Kindle un robot pouvant attaquer également d'autres appareils reliés à son réseau local.

Modifié le 09/08/2021 à 11h43
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Voir tous les messages sur le forum

Lectures liées

CyberGhost lance son VPN Gaming sur consoles (Playstation, Xbox et Nintendo)
Sélection rentrée antivirus : les meilleures offres du moment chez Bitdefender et Norton
Bon Plan Antivirus : Bitdefender Total Security protège vos appareils avec 60% de réduction
Telegram : les activités de cybercriminalité se multiplient, selon un rapport
Ransomware : l'éditeur Bitdefender met à disposition un outil de déchiffrement pour REvil
Harcèlement scolaire : le hashtag #Anti2010 supprimé de TikTok
Google s'associe à l'OSTIF pour améliorer la sécurité des projets open source tels que Git
Cyberattaque AP-HP : 1,4 million de personnes testées au COVID-19 victimes d'un vol de données
Une faille dans Travis CI a exposé les variables d’environnement de milliers de projets open source
L'hébergeur de sites liés à l'extrême-droite Epik aurait été piraté et ses données dérobées par Anonymous
Haut de page