Un éditeur de solutions de sécurité a découvert que des failles critiques, découvertes il y a plusieurs années, n'avaient pas été corrigées dans certaines applications. Pointés du doigt, Facebook mais aussi Google puisque ce n'est uniquement que sous Android.

au sommaire

    Que se passe-t-il lorsque des experts en solutions de sécurité (antivirus, pare-feupare-feu...) découvrent une vulnérabilité dans une applicationapplication ou un logiciel ? Ils alertent le plus grand nombre pour que les utilisateurs soient au courant, mais aussi l'éditeur du logiciel en question pour qu'il corrige le ou les failles découvertes.

    Sauf que parfois, aucun correctif n'est apporté et la faille reste... C'est ce qu'ont découvert des spécialistes de Check Point, et le plus inquiétant, c'est que cela concerne des applications installées sur des centaines de millions de smartphones. Plus exactement sur des téléphones sous AndroidAndroid. Ils ont ainsi découvert que 19 applications, dont FacebookFacebook, Messenger et InstagramInstagram, présentes sur le Google Play contenaient toujours des bouts de code vérolés, et l'éditeur met en cause le laxisme des développeurs qui ont préféré reprendre du code contenant des failles plutôt que de le corriger.

    Des projets open source accessibles à tous les éditeurs

    L'explication est simple : une application mobile utilise généralement des dizaines de composants réutilisables, écrits dans un langage accessible au plus grand nombre tel que le langage C. Ces composants, appelés bibliothèques natives, sont souvent dérivés de projets open source ou alors ils intègrent des fragments de code issus de projets open source. Lorsqu'une vulnérabilité est trouvée et corrigée dans un projet open source, ses responsables n'ont généralement aucun contrôle sur les bibliothèques natives susceptibles d'être affectées par la vulnérabilité, ni sur les applications utilisant ces bibliothèques natives. Voilà pourquoi une application peut continuer à utiliser la version obsolète du code, même des années après la découverte de la vulnérabilité.

    En l'occurrence, les failles qui touchent ces 19 applications datent pour certaines de 2014 ou 2015, et elles pourraient permettre à un pirate d'exécuter du code à distance ! Du côté de GoogleGoogle, on prend ce problème très au sérieux puisque Check Point n'a vérifié qu'un échantillon d'applications, et il se peut que beaucoup d'autres soient touchées. Quant à Facebook, il affirme que le code, même présent, n'est pas exécuté dans l'application et il ne peut donc être accessible aux pirates.