🔴 French Days en direct 🔴 French Days en direct

Les smartphones Android embarquant un processeur Snapdragon touchés par des failles de sécurité

Mathieu Grumiaux
13 août 2020 à 08h35
23
Qualcomm Snapdragon © Qualcomm

Des chercheurs ont mis à jour près de 400 vulnérabilités dans les puces du constructeur américain, installées sur plus d'un milliard de smartphones dans le monde.

L'ensemble de ses vulnérabilités ont été repérées par les chercheurs de la société experte en sécurité Checkpoint, qui ont présenté leurs découvertes lors de la DEFCON 2020.

Lire aussi :
Ledger, spécialiste des portefeuilles crypto-monnaie, annonce un piratage de ses données

En cause des bouts de code vulnérables au niveau de la puce DSP

Baptisées « Achilles », ces 400 failles de sécurité sont toutes concentrées dans le DSP (Digital Signal Processor), un composant présent sur le SoC pour traiter les signaux complexes comme le traitement de l'image ou les taches d'intelligence artificielle.

Si les puces DSP apportent un grand nombre de fonctionnalités à l'utilisateur, elles « sont beaucoup plus vulnérables aux risques car elles sont gérées comme des "boîtes noires" et il peut être très compliqué pour toute personne autre que leur fabricant de revoir leur conception, leurs fonctionnalités ou leur code », indiquent les chercheurs.

Selon ces derniers, ces bouts de code vulnérables pourraient être utilisés par des hackers malintentionnés pour pénétrer dans le smartphone et espionner l'ensemble des communications et des données enregistrées comme les contacts, les messages ou les mails reçus et envoyés. Ces failles peuvent aussi être exploitées pour des attaques par déni de service ou encore pour rendre inaccessibles certaines données du téléphone. Il leur suffirait seulement de convaincre l'utilisateur d'installer une application agissant comme un Cheval de Troie pour accéder à l'ensemble du smartphone.

Qualcomm rappelle à ses clients d'installer scrupuleusement chaque mise à jour de sécurité

Les chercheurs expliquent que près d'un milliard de téléphones sont potentiellement exposés à ce type de menaces. En effet Qualcomm, concepteur des SoC Snapdragon, équipe près de 40% des mobiles en circulation dans le monde, des smartphones d'entrée de gamme aux modèles premium.

Les différentes failles n'ont pas été rendues publiques par Checkpoint, qui a toutefois envoyé les conclusions de ses recherches à l'entreprise américaine. Celle-ci se veut rassurante et explique que pour l'heure rien n'indique que ces vulnérabilités ont été exploitées par des hackers.

Qualcomm encourage toutefois l'ensemble des utilisateurs de smartphones équipés de ses puces à installer les correctifs de sécurité proposés par les fabricants dès leur publication, afin d'éviter tout piratage éventuel. Le constructeur recommande également de n'installer que des applications disponibles sur le Google Play Store et validées par les équipes du moteur de recherche.

Source : Tech Xplore

Mathieu Grumiaux

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (23)

nicgrover
A quand les plus plates excuses de Qualcomm ?
bmustang
rien que 400 ? comme quoi plus t’es gros et moins t’en fais en pensant passer à travers ! Intel est rattrapé sur cette superbe perf.
COVINA
&lt;trump mode&gt;<br /> Tous les smartphones Snapdragon devraient être interdits car ils présentent un risque pour la sécurité du pays.<br /> &lt;/trump mode&gt;<br /> Plus sérieusement, même si je connais la réponse que l’on va me faire, j’ai du mal avec «&nbsp;hacker malintentionné&nbsp;». Cela ressemble à un pléonasme. S’il est bien intentionné, ce n’est plus un hacker mais un chercheur en sécurité non ?
tfpsly
COVINA:<br /> j’ai du mal avec « hacker malintentionné ». Cela ressemble à un pléonasme. S’il est bien intentionné, ce n’est plus un hacker mais un chercheur en sécurité non ?<br /> Houla non! Contrairement à l’usage qui en est fait dans 99% des articles journalistiques et films, hacker ne signifie pas pirate (donc oui ce terme est très mal employé dans l’article Clubic en haut de cette page).<br /> Le mot hacker vient de quelqu’un trop accroché (hooked) à sa passion pour s’en décrocher; mais des journalistes ont pensé que «&nbsp;hacker&nbsp;» = «&nbsp;hook&nbsp;» = «&nbsp;pirate des mer&nbsp;» donc pirate informatique. Un gros raté.<br /> Les premiers hackers étaient des… bidouilleurs de modèles réduits électriques de trains, pour les rendre plus rapide sur des circuit, dans des compétitions de vitesse vs stabilité (et même avant, de fermiers ayant particulièrement optimisés leur mouvements dans les champs). Rapport au piratage? Aucun…<br /> Les premiers hackers informatiques sont apparus dans des universités US comme Berkeley et le MIT. Ils avaient accès à l’unique ordinateur du département informatique après les cours. Gêné par l’usage mono-utilisateur de l’ordinateur, ils y ont ajouté le support du multi-utilisateur (avant : on mettait les cartes trouées, on allumait l’ordinateur; après : ordi allumé, un utilisateur pouvait s’y ajouté et lancer un nouveau programme). Rapport au piratage? Aucun…<br /> Puis ils ont vu que si un programme plantait, il plantait la machine pour tout le monde, perdant les données de tous. Donc ils ont ajouté des sécurités contre cela, afin que chacun ne puisse toucher que ses propres données. Rapport au piratage? Aucun, bien au contraire.<br /> Bref : les hackers ne piratent pas les ordinateurs et ne s’attaquent pas à la sécurité informatique, ils l’ont inventé! Les développeurs de Unix, puis Linux, Firefox etc., ainsi que pas mal d’ingé des jeux vidéos (surtout ceux qui étaient des demomakers) et O/S sont des hackers (accros aux ordinateurs, essayant d’en faire toujours plus avec les limites données). Sans cet état d’esprit, on n’aurait pas les jeux s’améliorant d’une année à l’autre sur une même console par exemple : le but est d’être le meilleur sur un matos donné.<br /> Seule une petite portion des hackers sont des pirates. Et seuls une partie des pirates sont assez bons pour être des hackers.<br /> C’est comme si le public utilisait le mot «&nbsp;conducteur&nbsp;» en signifiant «&nbsp;chauffard qui a écrasé et tué du monde&nbsp;». Rien à voir pour 99,99% des conducteurs et des hackers, c’est une mauvaise compréhension du terme original qui s’est hélas propagée dans le journalisme puis le grand public n’y connaissant rien.
stratos
comme tous les constructeurs font leurs surcouche et pas de maintient des update en gros la majorité resteront sensibles aux attaques.
KlingonBrain
S’excuser pour des bugs ?<br /> Soyons sérieux, si on faisait ça, les informaticiens passeraient les 9/10 de leur vie à s’excuser.
toug19
Ils ont regardé Qualcomm parce que c’est le plus connu. S’ils avait regardé ailleurs ils en auraient pas trouver moins…
cirdan
C’est surement à cause des chinois…
Demongornot
Et combien de ces bugs sont des backdoors volontairement mise en place ?<br /> Vue que le Patriot Act oblige les entreprises US à intégré des backdoors dans leur produits, ça ne m’étonnerais pas que certains de ces «&nbsp;bugs&nbsp;» soit des ouvertures volontaires, après tout une backdoor doit être difficilement détectable pour que des pirates n’en profitent pas, donc beaucoup doivent se faire passé régulièrement pour de simple bugs au yeux de ce genre d’analystes.<br /> Et par dessus ça, ça ne m’étonnerais pas que certaines backdoor ne soient même pas à usage gouvernementale, beaucoup de très grosses multinationales serraient prêt à payer des sommes colossales pour obtenir des données très confidentielles ou privé d’utilisateurs.
Judah
J’en ai trouvé 750 moi mais je ne dis pas lesquelles non plus.
Popoulo
«&nbsp;Il leur suffirait seulement de convaincre l’utilisateur d’installer une application agissant comme un Cheval de Troie pour accéder à l’ensemble du smartphone.&nbsp;»… ça en revient à filer les clefs de sa maison à un cambrioleur.
notolik
Ben non, pas forcement car l’OS est quand même là pour faire le gendarme.<br /> La on parle de failles qui peuvent carrément contourner l’OS (et donc ses sécurités) : un «&nbsp;jaillbreak&nbsp;» coté hardware.
juju251
Popoulo:<br /> «&nbsp;Il leur suffirait seulement de convaincre l’utilisateur d’installer une application agissant comme un Cheval de Troie pour accéder à l’ensemble du smartphone.&nbsp;»… ça en revient à filer les clefs de sa maison à un cambrioleur.<br /> Plus ou moins, parce que le code exploitant les failles pourrait très bien être embarqué dans n’importe quelle application en fait.
notolik
Tu chopes l’APK d’un petit jeu à la mode déjà existant, tu lui rajoutes des bouts de code malveillant, tu le signes avec un certificat bidon, tu publies le résultat sur un site alternatif (qui ne fait aucun contrôle), tu appâte avec une belle description, de faux commentaires… &gt;Et tu attends le pigeon.<br /> Même s’il faut quand même être un cannard et avoir un peu de temps ce n’est pas sorcier.
edou
Merci Sly pour ce petit rappel hélas encor nécessaire…
nikon561
mais du coup c’est bien sympa tout ca, mais a quand un vrai systeme de MAJ d’android.<br /> parce que faut que chaque fabricant mette la maj a dispo, puis ensuite, chaque operateur… resultat, entre la sortie de la version par google, et l’arrivée chez le client, il s’est passé 1 a 2 ans… ha et si le tel a plus de 2 ans =&gt; pas de MAJ… pourtant quand on prend des tel un minimum correct, on fait tres facilement plus de 2 ans avec!
nicgrover
Ah ces chinois… ah oui il y a aussi les américains… et les corses aussi sans oublier les bretons… On est envahi d’emmerd…
notolik
Non, ce que je dis c’est qu’en temps normal (sans failles hardware) l’OS dispose de mécanismes de sécurité pour se préserver lui mais aussi préserver l’utilisateur de programmes malveillants.<br /> Sauf que la, c’est une faille matérielle qui du coup peut/pourrait dépasser/contourner toutes ces mesures. L’OS ne serait même pas capable de détecter son existence ni ses activités : du code peut être exécuter sans aucun contrôle de l’OS.<br /> Autant le développement d’un tel programme malveillant abouti est coton, autant sa diffusion serait facile (en dehors du store).
vladim_mdk
Cela ressemble furieusement à l’affaire des différentes failles sur processeur Intel…<br /> L’article ne dit pas si cela ne concerne potentiellement que Qualcomm ou si d’autres fabricants de processeurs pourraient être impactés…<br /> La technologie en cause utilisée au niveau du DSP est elle spécifique à Qualcomm ou est ce une technologie générique présente dans ce type d’architecture de processeurs ?
stratos
AMD (encore 2 nouvelles il y a quelques semaines), intel, Qualcomm, ont tous des failles, certainement mediatek.<br /> Le problème est que 400 ça fait beaucoup la ou les faille intel ou AMD sont quand même pas simple à exploiter et demande souvent une présence physique pour l’exploiter, la 400 failles toutes ne doivent pas forcément etre tres compliqué<br /> Le playstore supprime tous les jours des apps avec des malware, mais certaines sont passées à travers le filet parfois et téléchargé des milliers de fois.<br /> La ou intel et AMD une mise a jour pouvait combler les failles, le problème d’android est aucun suivit de l’os de là par des constructeurs. ça devrait être comme windows, quelques choses de standart avec justes les app du fabricant dessus. Et apres on télécharge les drivers. Pas fan des iphone, mais quand on est dans des prix type plus de 500€ et avoir un support de 2 ans c’est juste ridicule android. Et je parle pas forcément du nouveau OS mais juste des mises à jour sécurité
Jolan
Pas vraiment, non. Les failles permettent au processus de contourner les protections de l’OS. Un programme ne demandant aucune autorisation, les aurait toutes.<br /> Mais dans la pratique, pour le piratage de masse, il est plus simple de faire un programme quelconque (comme un faux anti-virus) qui demandera les autorisation aux utilisateurs. Il y a 9 chances sur 10 qu’elles lui soient accordés par des utilisateurs trop confiant.<br /> Il n’y a qu’à voir les autorisations que demande certains jeux.<br /> Le piratage ciblé, c’est une autre histoire.
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Les smartphones Android embarquant un processeur Snapdragon touchés par des failles de sécurité Les smartphones Android embarquant un processeur Snapdragon touchés par des failles de sécurité
37 % des smartphones Android auraient une puce vulnérable et pourraient se faire espionner à leur insu 37 % des smartphones Android auraient une puce vulnérable et pourraient se faire espionner à leur insu
Votre smartphone Android est-il concerné par ces 3 failles critiques qui permettent de l'écouter ? Votre smartphone Android est-il concerné par ces 3 failles critiques qui permettent de l'écouter ?
Vous avez un Samsung, un Google Pixel, un vivo ? Les chercheurs de Google viennent de trouver une grosse faille ! Vous avez un Samsung, un Google Pixel, un vivo ? Les chercheurs de Google viennent de trouver une grosse faille !
Mettez votre smartphone Android à jour maintenant, ces 46 failles de sécurité doivent être corrigées ! Mettez votre smartphone Android à jour maintenant, ces 46 failles de sécurité doivent être corrigées !