Samsung aurait-il livré un grand nombre de ses smartphones avec un cryptage inadéquat ? Des chercheurs en sécurité informatique ont émis cette accusation dans une étude scientifique. Des millions d'appareils des séries Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 et Galaxy S21 seraient concernés.
Conception et code cryptographiques affectés
L’étude scientifique a été publiée par trois experts en sécurité de l’Université de Tel-Aviv. Elle porte de graves accusations contre l’entreprise technologique sud-coréenne. Grâce à ce qu’on appelle l’ingénierie inverse, les chercheurs, Eyal Roen, Avishai Wool et Alon Shakevsky, ont pu déterminer que les appareils défectueux auraient deux talons d’Achille. Outre les failles de sécurité dans la structure du code, on constate également un manque de fiabilité dans la conception cryptographique, c’est-à-dire le cryptage des données importantes.
Vulnérabilités dues à une implémentation incorrecte
Pour comprendre la cause du problème, il faut d’abord considérer la manière dont les smartphones Android sont conçus dans ce domaine. Selon un article de The Register, un « environnement d’exécution de confiance » est utilisé ici. Son idée de base est de séparer les contenus pertinents pour la sécurité des applications et programmes conventionnels. Cet espace particulièrement fermé n’utilise pas non plus le système d’exploitation interne de Google. Au lieu de cela, il utilise son propre système d’exploitation. Ce qui sert de base logicielle et comment cela est décidé par Samsung et tous les autres fabricants de smartphones. Une possibilité est le soi-disant Android Keystore.
Cela sert notamment à gérer les clés dites cryptographiques. Si Android a besoin d’une clé spécifique pour effectuer une action, il peut la demander au keystore. L’API émise dans ce cas est implémentée par le système d’exploitation en tant qu’« application de confiance ». Cela a notamment des raisons de sécurité. En fin de compte, seules les clés suffisamment cryptées doivent communiquer avec les applications conventionnelles. Pendant ce temps, les données sensibles se trouvent dans l’application de confiance. C’est exactement là que se trouve le problème des millions de smartphones Samsung désormais connus. Après tout, Samsung a de toute évidence implémenté son keystore ou les éléments associés de manière incorrecte dans les appareils concernés.
Environ 100 millions de smartphones concernés
Selon les chercheurs en sécurité, les anciens modèles de l'entreprise technologique ne sont pas les seuls concernés. Outre les anciens flagships tels que les Galaxy S8, S9 et S10, les générations relativement récentes S20 et S21 seraient également concernées. Un coup d'œil aux chiffres nous donne une mauvaise idée. Selon les experts, près de 100 millions d'appareils sont concernés. Mais quelles conséquences les propriétaires d'un appareil concerné doivent-ils craindre maintenant ? Le problème d'une mise en œuvre incorrecte est le fait que le cryptage est parfois insuffisant.
La raison en est que le logiciel de sécurité produit parfois des résultats congruents lors du cryptage des données. Il devient alors prévisible et perd en sécurité. Les cybercriminels en seront ravis. Étant donné que Samsung est probablement au courant du problème depuis mai de l'année dernière, l'entreprise a déjà réagi en proposant des mises à jour de sécurité. Cependant, celles-ci n'ont pas encore éliminé l'intégralité du problème. Nous partons toutefois du principe que l'entreprise continuera à veiller à combler les failles de sécurité restantes.
Jeu de briques
Snake
Pacman
Bubble