Passer au contenu

Votre smartphone a une puce Exynos ? Ces failles sont une catastrophe

Samsung tarde à délivrer des correctifs 90 jours après le signalement de Google Project Zero… mais il existe une solution temporaire.

Romain Pomian-Bonnemaison
Par
  • Les chercherus de Google Project Zero alertent sur la présence de vulnérabilités très graves dans certaines puces Samsung Exynos
  • Google a déjà publié un premier correctif pour ses smartphones, mais Samsung tarde encore à réagir 90 jours après le signalement
  • En attendant un patch, les utilisateurs peuvent se protéger s’ils désactivent les appels Wi-Fi et 4G/5G (VoLTE)

Google Project Zero annonce avoir découvert (et signalié) il y a trois mois pas moins de 18 failles de sécurité qui affectent les modems des puces Samsung Exynos. Le composant est présent dans un certain nombre de smartphones Samsung, mais aussi les Google Pixel 6 et Google Pixel 7, de nombreux smartphones Vivo, des wearables et même des voitures.

Parmi les 18 problèmes de sécurité identifiés, quatre sont particulièrement critiques et permettent aux pirates d’accéder et prendre le contrôle d’appareils simplement en appelant leur victime. Or, comme le déplore à juste titre l’auteure de la découverte, la chercheuse Maddie Stone de Project Zero, les clients des smartphones Samsung touchés, en particulier, n’ont toujours pas eu droit au moindre correctif 90 jours après le signalement.

De nombreux smartphones Samsung Galaxy sont touchés, mais pas seulement

Pour laisser le temps aux constructeurs de développer des patchs de sécurité, les chercheurs laissent en effet un délai de trois mois entre le signalement et la divulgation de détails techniques plus précis. Délai habituellement respecté par les constructeurs, mais pas dans ce cas, en tout cas pour toutes les références touchées. Selon Project Zero, cette liste d’appareils Samsung, Google et d’autres marques est visée par ces failles de sécurité :

  • Smartphones Samsung Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04
  • Smartphones Vivo S16, S15, S6, X70, X60 et X30
  • Google Pixel 6 et Pixel 7
  • Wearables utilisant la puce Exynos W920
  • Véhicules équipés de la puce Exynos Auto T5123

Du côté des smartphones Samsung, on remarque que les Galaxy S23, tous vendus avec des puces Qualcomm Snapdragon dernière génération, ne sont pas impactés par les failles. De la même manière, Les Galaxy S21 et modèles antérieurs ne sont pas mentionnés par les chercheurs du Project Zero – ce qui signifie qu’ils n’intègrent pas le défaut qui permet à ces 18 failles de sécurité d’exister.

Toutefois Samsung n’a pas encore délivré le moindre correctif. Google est un peu plus prévenant puisque la firme affirme avoir corrigé les problèmes dans sa mise à jour de sécurité de mars pour le Pixel 7. Toutefois, la mise à jour n’a pas encore atteint les Google Pixel 6, Pixel 6 Pro et Pixel 6a, ce qui signifie que ces téléphones ne sont pas actuellement à l’abri des pirates.

Très concrètement, le problème touche le baseband, un composant radio qui permet de capter et de discerner les signaux Bluetooth, WiFi, GSM, LTE (4G), et 5G. Normalement, chaque flux est bien isolé des autres, ce qui empêche d’injecter du code malveillant ou de détourner le composant de sa finalité attendue.

Comment se protéger quand même ?

Pour protéger les utilisateurs, Google Project Zero a pris la décision de passer les détails de 4 vulnérabilités particulièrement graves sous silence. Ces vulnérabilités permettraient en effet d’exécuter du code sur le smartphone des victimes sans action de leur part, simplement en appelant le smartphone cible ou en s’y connectant sans fil par tout autre moyen.

Les chercheurs de Project Zero se montrent toutefois fermes, et pour que ni Samsung, ni Google ne “s’endorment” sur le sujet, ils annoncent que le détail de ces failles les plus graves seront dévoilés dans les prochaines semaines, que les firmes touchées délivrent ou non des correctifs à leurs utilisateurs.

Si vous êtes concerné par le problème et qu’aucune mise à jour constructeur n’est encore disponible, sachez qu’il existe quand même une manière efficace de se protéger. Le seul petit problème est que cette méthode va réduire la qualité de vos appels et vous faire consommer davantage de minutes voix (vérifiez bien que cela n’implique pas de coûts supplémentaires avec votre abonnement actuel).

Les chercheurs de Google Project Zero recommandent en effet de désactiver les appels Wi-Fi et 4G/5G (VoLTE). En parallèle, il est également recommandé de vérifier la présence de mises à jour et de correctifs de sécurité pour votre appareil. Il est vraisemblable que les constructeurs touchés finiront par réagir, en tout cas pour les modèles relativement récents et encore pris en charge pour les mises à jour et correctifs de sécurité.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Antivirus Bitdefender Plus
Antivirus Bitdefender Plus
Par : Bitdefender
Voir notre test Acheter la licence à 19 €

[ Source ]

Sur le même sujet

Les dernières actualités
Mcdonalds Ia Fuite
Menacé en France, McDonald’s baisse massivement ses prix et lance un menu à 5€ plus copieux
Yellowstone
Yellowstone : un supervolcan qui pourrait plonger le monde dans le chaos
Essence 2 Euros 2027
« 45 centimes moins cher » : ces automobilistes français ont trouvé une méthode parfaite pour économiser sur l’essence et le diesel
Banksy
Un père et sa fille ont vendu 200 fausses œuvres de Banksy et Andy Warhol pendant des années : un détail a fini par les trahir
Hopital
Plus de morts après une hospitalisation qu’un accident de la route ? Ce rapport sur les hôpitaux en France dérange
iRobot Roomba Mini
Test de l’iRobot Roomba Mini : le petit aspirateur qui va là où les autres n’osent pas !
F1
La Formule 1 et l’IA : une collaboration qui explose dans les paddocks
Air France
« Un risque pour les équipages et les passagers » : pourquoi Air France va de nouveau survoler la Libye