Une faille de sécurité permet à un simple code reçu par SMS de réinitialiser automatiquement et d’effacer toutes les données de certains smartphones fonctionnant sous Android. Les premiers concernés sont les modèles de Samsung et notamment le concurrent de l’iPhone 5, le Galaxy S3.

au sommaire

    En tapant *2767*3855# sur un smartphone Android, toutes les données du téléphone peuvent être éliminées en quelques instants et les réglages d'usine rétablis. C'est ce qu'a démontré Ravi Borgaonkar, devant une assemblée d'experts lors de l'Ekoparty, une conférence annuelleannuelle sur la sécurité qui se tenait dernièrement en Argentine.

    Cette manipulation peut être réalisée automatiquement et de façon malveillante à distance en envoyant ce code par SMS. Si l'utilisateur clique sur le lien contenu dans le message, une connexion Wap va générer ce code sur le terminal et le réinitialiser automatiquement en quelques instants, sans qu'il soit possible d'arrêter la procédure. Le code peut également être activé par QR Code, ou par le protocole NFC qui ouvre automatiquement les URL. Enfin, il est aussi possible de se faire piéger en se rendant simplement sur une page Web.

    Cette combinaison de chiffres et de symboles porteporte le nom de code USSD. Il s'agit d'un protocole spécial qui permet d'échanger des commandes entre l'opérateur et le terminal. C'est, par exemple, ce code USSD qui permet de gérer la messageriemessagerie vocale à distance, d'obtenir un relevé de consommation, ou encore de bloquer la carte SIM d'un téléphone perdu ou volé, à distance. 


    Comme le montre cette vidéo tournée lors de l'Ekoparty, un simple code USSD reçu par SMS, ou déclenché en se rendant sur un site malveillant à partir d’un smartphone fonctionnant sous Android, actionne automatiquement et très rapidement la réinitialisation totale du téléphone sans retour en arrière possible. © alejandrospamloco/YouTube

    La faille touche les smartphones Samsung et sous Android

    Lors de l'Ekoparty, il semblait que seuls les Galaxy S3 de Samsung étaient concernés, mais depuis cette révélation, la faille a été identifiée sur de nombreux appareils provenant de SamsungSamsung. Certains HTC seraient également touchés. Si cette faille touche en majorité les téléphones Samsung, c'est que l'interface utilisateur TouchWiz, autrement dit la surcouche logicielle conçue par le constructeur, autorise le lancement du code USSD sans intervention de la part de l'utilisateur. TouchWiz facilite donc son activation automatique. En revanche, AndroidAndroid ne l'arrête pas non plus, raison pour laquelle la faille touche d'autres marques de smartphones fonctionnant sous Android.

    S'il a été révélé dernièrement, le problème ne date pas d'hier et Ravi Borgaonkar a expliqué avoir prévenu les constructeurs dès le mois de juin. Certains n'ont pas corrigé cette faille, mais ce n'est cependant pas le cas de Samsung qui a déployé rapidement un correctif. Malheureusement, les téléphones vendus chez les opérateurs n'ont pas été mis à jour. Le constructeur conseille donc à ses clients de mettre à jour leur smartphone avec la dernière version d'Android qui corrige ce souci. De son côté, Ravi Borgaonkar conseille d'installer TelStop, une applicationapplication qui bloque les attaques par USSD. Enfin, il a fourni une adresse permettant de vérifier si un smartphone Android est touché par cette faille. Lors de ce test, le simple fait de pouvoir lire l'IMEI (le code d'identification du téléphone) révèle que le téléphone est touché par cette faille.