Le spécialiste de la sécurité informatique, et notamment sur les appareils nomades, publie une alerte inquiétante sur un possible vol massif de données sous Android.

kaspersky
Kaspersky tente d'exister sous Android et ça fonctionne !

Kaspersky a découvert un cheval de Troie fabriqué pour subtiliser les carnets de contacts, les SMS et bien d’autres informations stockés sur la plateforme mobile de Google. Si cette annonce a toujours le don d’éveiller la curiosité et la crainte des utilisateurs, la description de la méthode employée pour entrer frauduleusement au sein d’un smartphone touché rassure. Car, une nouvelle fois, des avertissements clairs et précis apparaissent pendant l’ensemble du processus.

La première étape consiste à envoyer un e-mail avec une application en pièce jointe. Afin de réaliser ce premier pas, il est déjà essentiel de passer outre les filtres des serveurs modernes et d’intéresser le lecteur afin que ce dernier ouvre l’APK. Le cheval de Troie évoqué par Kaspersky ciblaient des activistes tibétains. Le message envoyé provient du chef d’une organisation connue qui incite à la lecture du document associé qui se cache dans l’application en question.

Après ce cap déjà relativement complexe, il est essentiel que le téléphone autorise l’installation d’applications d’origine tierce. Pour ce faire, il est obligatoire de modifier l’option relative. Or, le menu qui permet ce changement est enfui dans les réglages de sécurité et affiche un avertissement particulièrement clair sur les risques encourus en cas d’activation. L’utilisateur qui n’a pas d’expertise particulière dans le domaine mobile doit donc confirmer qu’il expose son appareil à des soucis de sécurité. Pire encore: en lançant l’APK, la liste des autorisations requises sera affichée, dévoilant des intentions peu louables comme l’envoi de SMS à son insu.

Ensuite, après l’installation de l’application, il faut encore la trouver et l’exécuter. Dans le cas précis décrit par Kaspersky, il s’agit d’une icône standard nommée conférence. Si l’utilisateur n’a pas trouvé le fameux document promis dans l’e-mail de départ, pourquoi irait-il lancer un logiciel qui ne correspond pas vraiment à l’objectif initial ? Mystère.

Mais passons à nouveau sur ce détail car, à ce stade, la fameuse faille n’a pas encore été exploitée. Lors du lancement du logiciel, un message d’accueil apparaît. Il s’agit du texte annoncé à la première étape de la méthode. Or, visiblement, le contenu est relativement pauvre et plutôt anecdotique. Bien entendu, si l’utilisateur ne se doute de rien jusqu’à présent, il est fort à parier que la puce ne sera pas portée à l’oreille avec cet énième indice.

Il est à noter que les données ne sont pas envoyées automatiquement dans la nature. Le virus va frapper à la porte d’un serveur déterminé et attendre que ce dernier demande des informations… par SMS. Ce n’est que lorsqu’un code particulier aura été détecté dans un message SMS du serveur que le cheval de Troie va envoyer les données volées.

Bref, l’utilisateur lambda n’est pas du tout exposé à ce type de problème de sécurité. Kaspersky ne précise d’ailleurs pas que son exemple a fonctionné. Le serveur en question, un Windows Server 2003, est actif dans un centre de données de Los Angeles. S’il le fallait encore, ce dernier détail amoindrit la crédibilité du vol effectif de données et appuie probablement l’effet démonstratif. Le but est bien de vendre quelques licences supplémentaires de l’anti-virus Kaspersky disponible pour un peu plus de 10 euros dans le kiosque Google Play.

Et visiblement, les alertes inutiles mais répétées fonctionnent puisque plus de 100.000 téléchargements ont été constatés. C’est à se demander finalement qui est le plus vertueux ? Celui qui exploite une faille ou celui qui vend en agitant le spectre d’une faille imaginaire ?

On en parle sur le forum

1 COMMENTAIRE

  1. Et Kaspersky, il quoi pour combler la faille? Soit empêcher l’install d’apk, retirer une option à off par défaut. Soit afficher un avertissement supplémentaire, ce qui serait encore plus inutile.

Comments are closed.