All time Nerds BetterBe Carrières

Comment se prémunir d’une faille de sécurité qui affecte plus de la moitié des appareils Android

Par Laurent LaSalle – le dans Actualités
Si votre téléphone ou tablette n'est pas propulsé par la dernière version d'Android, vous êtes à risque d'être victime d'un bogue portant gravement atteinte à votre vie privée simplement en naviguant sur le Web.

Il y a un peu plus d’un mois, Google a publié des mises à jour d’Android visant à corriger une faille affectant le navigateur des versions antérieures à 4.4 (KitKat). Malheureusement, la fragmentation de l’écosystème mobile de Google empêche encore une fois plusieurs de ses utilisateurs de mettre à jour leurs téléphones.

La raison est simple : les mises à jour doivent passer entre les mains des fabricants et fournisseurs de services mobiles avant d’être téléchargés par les détenteurs de leurs appareils, provoquant par conséquent des retards parfois considérables.

Problème dans l’application de la SOP

La SOP est un concept de sécurité des navigateurs modernes qui doit gérer en toute sécurité la façon dont le contenu de plusieurs domaines Internet est traité par un navigateur.

Au début du mois de septembre, le chercheur en sécurité Rafay Baloch a découvert deux bogues dans le navigateur web de l’Android Open Source Project (AOSP) – la version ouverte du système d’exploitation mobile à partir de laquelle des déclinaisons d’Android sont conçues par des tiers – provoquant des problèmes au niveau de l’application de la SOP (same policy origin, ou même politique d’origine).

Comme le soulève Google, la SOP est «sans doute le plus important concept de sécurité des navigateurs modernes» qui doit gérer en toute sécurité la façon dont le contenu de plusieurs domaines Internet est traité par un navigateur.

Si par mégarde vous visitez un site conçu pour exploiter cette faille à partir d’un navigateur vulnérable, le gestionnaire de ce site peut consulter le contenu de n’importe quelle autre page Internet affichée sur un onglet en parallèle. Il lui est également possible de détourner l’une de vos sessions en téléchargeant le témoin (ou cookie) de celle-ci.

Puisque cette faille est présente dans le navigateur des versions d’Android antérieures à 4.4 (Google s’est débarrassé du navigateur dans la plus récente version de son OS), cela signifie que près de 75% des utilisateurs d’Android sont susceptibles d’être exposés à une telle cyberattaque à l’heure actuelle.

Devant la découverte de Baloch, Google a rapidement produit des mises à jour afin de corriger les deux bogues. Malheureusement, non seulement la fragmentation d’Android impose des délais déraisonnables au déploiement de ces mises à jour, mais les navigateurs construits à partir du navigateur de l’AOSP – notamment celui conçu par Samsung – sont également vulnérables.

La solution

Assurez-vous que Chrome ou Firefox est configuré pour être votre navigateur par défaut.

Voici la démarche à suivre afin de vous prémunir contre la faille en question selon votre situation, gracieuseté de la firme de sécurité informatique Lookout.

Si votre appareil est propulsé par Android 4.3 ou une version antérieure, appliquez-lui la mise à jour à la version 4.4 (KitKat). Cette version est dépourvue du navigateur défaillant provenant de l’AOSP, et par conséquent non concernée par cette faille.

Si vous ne pouvez pas installer Android 4.4 pour une raison ou pour une autre (la mise à jour n’est pas encore offerte par votre fabricant ou votre fournisseur de services mobiles), téléchargez Chrome ou Firefox à partir du Play Store et assurez-vous que l’une de ces applications est configurée pour être votre navigateur par défaut.

Afin de vous assurer de ne pas utiliser le navigateur défaillant par mégarde sur un appareil propulsé par une version d’Android antérieure à 4.4, songez à vous procurer un nouvel appareil.

Continuez votre lecture

Une importante faille de sécurité affecte les utilisateurs d’Android

Une importante faille de sécurité affecte les utilisateurs d’Android

Laurent LaSalle -
Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Laurent LaSalle -
Google élimine une faille qui affecte 99% des appareils Android

Google élimine une faille qui affecte 99% des appareils Android

Laurent LaSalle -
Un autre bug semble affecter Android 5.0 Lollipop

Un autre bug semble affecter Android 5.0 Lollipop

Laurent LaSalle -
Les utilisateurs d’Android 4.1.1 sont vulnérables à Heartbleed

Les utilisateurs d’Android 4.1.1 sont vulnérables à Heartbleed

Laurent LaSalle -
Adobe lance une mise à jour de sécurité critique pour Flash

Adobe lance une mise à jour de sécurité critique pour Flash

Laurent LaSalle -
FREAK : Google corrige Chrome pour Windows, OS X et Linux

FREAK : Google corrige Chrome pour Windows, OS X et Linux

Laurent LaSalle -
Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Laurent LaSalle -
La prochaine version d’Android se nommera KitKat

La prochaine version d’Android se nommera KitKat

Laurent LaSalle -
Une nouvelle faille de sécurité affecte Internet Explorer de 6 à 11 (MAJ)

Une nouvelle faille de sécurité affecte Internet Explorer de 6 à 11 (MAJ)

Laurent LaSalle -
Comment contourner les bugs et petits défauts d’Android 5.0 Lollipop

Comment contourner les bugs et petits défauts d’Android 5.0 Lollipop

Steve Rodrigue -
Des vidéos d’Android Lollipop sur les plus récents appareils de la gamme Galaxy

Des vidéos d’Android Lollipop sur les plus récents appareils de la gamme Galaxy

Laurent LaSalle -
Faites la mise à jour de Flash immédiatement

Faites la mise à jour de Flash immédiatement

Laurent LaSalle -
Android vous avertira dès qu’un autre appareil se connecte à votre compte Google

Android vous avertira dès qu’un autre appareil se connecte à votre compte Google

Laurent LaSalle -
Android est sécuritaire, arrêtez de prétendre le contraire

Android est sécuritaire, arrêtez de prétendre le contraire

Steve Rodrigue -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .