La protection des données (au sens large) est, sur téléphone mobile, devenue un vrai sujet de préoccupation. Pas parce que Google utilise les données pour confectionner quelques outils marketing pour mieux cibler les campagnes de communication. Pas uniquement parce que Facebook semble avoir commis de graves erreurs (en développement et en gestion) sur la façon dont les autorisations d’accès aux données personnelles sont accordées.
C’est aussi une préoccupation parce que nos données sensibles sont de plus en plus nombreuses dans les smartphones : vie privée, carte bancaire, factures diverses, mots de passe pour les services en ligne, etc. Créer des zones cryptées et des coffres forts numériques, c’est bien. Mais cela n’empêche pas forcément le piratage informatique. D’autant plus que les systèmes d’exploitation des smartphones sont de plus en plus complexes, avec des ponts entre l’OS (Android ou iOS) et les applications tierces.
Un besoin de sécurité de plus en plus grand
Parce que les OS sont plus complexes, les failles sont plus fréquentes. Et l’une d’entre elles, qui concerne MIUI (la ROM qui équipe tous les smartphones de Xiaomi) a été dévoilée par Check Point Software (éditeur de Zone Alarm) il y a quelques jours. Pour rappel, il s’agit d’une faille qui touche l’application préinstallée appelée « Sécurité » (mais son vrai nom est Guard Provider). Il s’agit d’une application qui, selon Check Point, compte plusieurs modules différents, dont plusieurs moteurs antivirus comme celui d’Avast (éditeur très connu en France pour son antivirus gratuit). Un pirate informatique serait capable, selon Check Point de tirer parti de cette complexité pour injecter du code malveillant et prendre le contrôle des données du téléphone.
Nous avons relayé cette information dans nos colonnes. Check Point Software affirmait alors que la faille avait été comblée suite à une communication avec Xiaomi et Avast, qui semble être le fournisseur de Guard Provider. Suite aux nombreux articles qui ont été dévoilés sur Internet, dont au travers de nos colonnes, Avast et Xiaomi ont émis une déclaration concernant l’information en elle-même, mais aussi l’étude.
Extrêmement complexe et peu probable
Avast confirme d’abord que la fuite existait. Elle affirme également travailler en permanence avec ses partenaires constructeurs, dont Xiaomi, pour renforcer la sécurité de ses applications (et des terminaux que ces dernières protègent), notamment au sujet des modules hétérogènes qui les composent.
Elle estime aussi que le contexte de l’attaque, tel qu’elle est définie par Check Point, est « extrêmement complexe » et que la faisabilité est « peu probable ». Il s’agit, selon Avast, d’une « démonstration de faisabilité ». Ce qui ne veut pas dire que le risque soit nul non plus. Une réflexion qui peut être appliquée à de nombreuses situations en piratage informatique.
Escarmouche entre concurrents ?
Que faut-il apprendre de cette histoire ? Trois points. D’abord, Xiaomi s’est associé à un grand nom de la sécurité pour ses smartphones. Mais, même ces grands noms ne sont pas à l’abri d’un défaut de développement. Ensuite, une faille a été trouvée et elle a été corrigée. Il y en a peut-être d’autres. Et elles seront peut-être trouvées avant d’être comblées. C’est le jeu du chat et de la souris en sécurité informatique.
Enfin, et c’est surtout ça qu’il faut noter, Avast et Check Point sont des concurrents. Que l’un travaille à trouver les failles d’un produit de l’autre et communique publiquement sur le sujet quand elle en trouve, ça fait partie des stratégies pour signer avec des partenaires comme Xiaomi qui vendent des millions de téléphones. Dommage que le constructeur ait été pris entre les tirs.