All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Les utilisateurs d’Android 4.1.1 sont vulnérables à Heartbleed

Par Laurent LaSalle – le dans Actualités
La lenteur avec laquelle les fabricants d'appareils mettent à jour leur propre version d'Android pourrait pénaliser jusqu'à 50 millions d'utilisateurs.

Bien que Google ait été l’une des premières entreprises à découvrir et corriger la désormais célèbre faille de sécurité sur ses différents services, il demeure que la confidentialité des renseignements personnels d’un nombre significatif d’utilisateurs d’Android pourrait être compromise.

Heartbleed peut aussi être exploité du côté serveur : un site malveillant demande à l’appareil d’un visiteur un surplus d’informations, cherchant à récupérer des données confidentielles de ce dernier.

C’est ce que nous rapporte cette semaine le quotidien The Guardian, alors que Heartbleed bénéficie indirectement du fait que les fabricants d’appareils Android sont particulièrement lents lorsque vient le moment d’offrir les mises à jour du système d’exploitation de leurs différents produits.

La possibilité d’exploiter Heartbleed des deux côtés se trouve au cœur du problème.

L’exemple illustré jusqu’à présent pour vulgariser l’exploitation de la faille d’OpenSSL se présentait du côté client : un pirate (client) demande à un serveur un surplus d’informations dans l’espoir de récupérer des renseignements personnels d’autrui.

Mais cette faille peut aussi être exploitée du côté serveur : un site malveillant (serveur) demande à l’appareil d’un visiteur (client) un surplus d’informations, cherchant à récupérer des données confidentielles de ce dernier.

Le hic? Le surplus de données fourni par un appareil vulnérable peut contenir des données d’autres sessions sécurisées passées ou actives (en parallèle). Bien que cette méthode, nommée Reverse Heartbleed, ne permet toujours pas de cibler le type d’information convoité, il permet cependant de cibler la victime – ce qui n’est pas le cas du premier exemple, puisque l’information fournie par le serveur est plus susceptible d’appartenir à quiconque ayant visité le site en question.

Si votre téléphone intelligent ou tablette tactile est propulsé par la version 4.1.1 d’Android (la seule version vulnérable selon Google), vous êtes à risque. Selon les statistiques compilées par la régie publicitaire Chitika, le nombre d’appareils Android vulnérables pourrait s’élever jusqu’à 50 millions.

Soulignons que cette méthode inversée ne menace pas exclusivement les utilisateurs Android : quiconque utilise un navigateur dont la version d’OpenSSL n’a pas été mise à jour depuis la découverte d’Heartbleed est également à risque.

Que faire? Nous invitions les utilisateurs d’Android 4.1.1 à installer l’application Heartbleed Detector afin de valider si leur appareil est vulnérable ou non. Si tel est le cas, ne visitez pas de sites louches par le biais d’une connexion SSL avant d’effectuer la mise à jour de votre système.

Continuez votre lecture

Une extension pour Chrome vous avertit lorsqu’un site est affecté par Heartbleed

Une extension pour Chrome vous avertit lorsqu’un site est affecté par Heartbleed

Laurent LaSalle -
Google savait déjà à propos de Heartbleed et n’a informé personne

Google savait déjà à propos de Heartbleed et n’a informé personne

Laurent LaSalle -
Pour mieux comprendre Heartbleed

Pour mieux comprendre Heartbleed

Benoît Gagnon -
WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

Branchez-vous -
Heartbleed : adoptez la validation en deux étapes

Heartbleed : adoptez la validation en deux étapes

Laurent LaSalle -
Un FREAK menace la sécurité d’Android et iOS

Un FREAK menace la sécurité d’Android et iOS

Laurent LaSalle -
Une importante faille de sécurité affecte les utilisateurs d’Android

Une importante faille de sécurité affecte les utilisateurs d’Android

Laurent LaSalle -
Nouvelle faille affectant Android et iOS rend vulnérables leurs clés de chiffrement

Nouvelle faille affectant Android et iOS rend vulnérables leurs clés de chiffrement

Laurent LaSalle -
Google élimine une faille qui affecte 99% des appareils Android

Google élimine une faille qui affecte 99% des appareils Android

Laurent LaSalle -
Comment se prémunir d’une faille de sécurité qui affecte plus de la moitié des appareils Android

Comment se prémunir d’une faille de sécurité qui affecte plus de la moitié des appareils Android

Laurent LaSalle -
Avec Android /e/, voici les smartphones anti-Google

Avec Android /e/, voici les smartphones anti-Google

Branchez-vous -
Google, Facebook et Microsoft soutiennent la Fondation Linux afin de nous prémunir contre le prochain Heartbleed

Google, Facebook et Microsoft soutiennent la Fondation Linux afin de nous prémunir contre le prochain Heartbleed

Laurent LaSalle -
Les nouveautés d’Android 5.1 Lollipop

Les nouveautés d’Android 5.1 Lollipop

Laurent LaSalle -
ZombieLoad : Intel touché par une énorme faille de sécurité

ZombieLoad : Intel touché par une énorme faille de sécurité

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Laurent LaSalle -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .