Il y a un peu plus d’un mois, Google a publié des mises à jour d’Android visant à corriger une faille affectant le navigateur des versions antérieures à 4.4 (KitKat). Malheureusement, la fragmentation de l’écosystème mobile de Google empêche encore une fois plusieurs de ses utilisateurs de mettre à jour leurs téléphones.
La raison est simple : les mises à jour doivent passer entre les mains des fabricants et fournisseurs de services mobiles avant d’être téléchargés par les détenteurs de leurs appareils, provoquant par conséquent des retards parfois considérables.
Problème dans l’application de la SOP
La SOP est un concept de sécurité des navigateurs modernes qui doit gérer en toute sécurité la façon dont le contenu de plusieurs domaines Internet est traité par un navigateur.
Au début du mois de septembre, le chercheur en sécurité Rafay Baloch a découvert deux bogues dans le navigateur web de l’Android Open Source Project (AOSP) – la version ouverte du système d’exploitation mobile à partir de laquelle des déclinaisons d’Android sont conçues par des tiers – provoquant des problèmes au niveau de l’application de la SOP (same policy origin, ou même politique d’origine).
Comme le soulève Google, la SOP est «sans doute le plus important concept de sécurité des navigateurs modernes» qui doit gérer en toute sécurité la façon dont le contenu de plusieurs domaines Internet est traité par un navigateur.
Si par mégarde vous visitez un site conçu pour exploiter cette faille à partir d’un navigateur vulnérable, le gestionnaire de ce site peut consulter le contenu de n’importe quelle autre page Internet affichée sur un onglet en parallèle. Il lui est également possible de détourner l’une de vos sessions en téléchargeant le témoin (ou cookie) de celle-ci.
Puisque cette faille est présente dans le navigateur des versions d’Android antérieures à 4.4 (Google s’est débarrassé du navigateur dans la plus récente version de son OS), cela signifie que près de 75% des utilisateurs d’Android sont susceptibles d’être exposés à une telle cyberattaque à l’heure actuelle.
Devant la découverte de Baloch, Google a rapidement produit des mises à jour afin de corriger les deux bogues. Malheureusement, non seulement la fragmentation d’Android impose des délais déraisonnables au déploiement de ces mises à jour, mais les navigateurs construits à partir du navigateur de l’AOSP – notamment celui conçu par Samsung – sont également vulnérables.
La solution
Assurez-vous que Chrome ou Firefox est configuré pour être votre navigateur par défaut.
Voici la démarche à suivre afin de vous prémunir contre la faille en question selon votre situation, gracieuseté de la firme de sécurité informatique Lookout.
Si votre appareil est propulsé par Android 4.3 ou une version antérieure, appliquez-lui la mise à jour à la version 4.4 (KitKat). Cette version est dépourvue du navigateur défaillant provenant de l’AOSP, et par conséquent non concernée par cette faille.
Si vous ne pouvez pas installer Android 4.4 pour une raison ou pour une autre (la mise à jour n’est pas encore offerte par votre fabricant ou votre fournisseur de services mobiles), téléchargez Chrome ou Firefox à partir du Play Store et assurez-vous que l’une de ces applications est configurée pour être votre navigateur par défaut.
Afin de vous assurer de ne pas utiliser le navigateur défaillant par mégarde sur un appareil propulsé par une version d’Android antérieure à 4.4, songez à vous procurer un nouvel appareil.