Des failles zero-day critiques dans les smartphones Samsung et Google
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Elles touchent les modems Exynos et permettent, pour les plus graves, un accès à distance en ne disposant que d’un numéro de téléphone
Le projet Zero de Google a révélé, le 16 mars 2023, la découverte de 18 vulnérabilités zero-day dans les modems Exynos produits par Samsung Semiconductor. Ces failles ont été mises à jour entre fin 2022 et début 2023. Elles touchent en majorité des smartphones Samsung et Google.
Quatre vulnérabilités s’avèrent particulièrement critiques. Elles permettent en effet à un attaquant de « compromettre à distance un téléphone au niveau de la bande de base sans interaction avec l’utilisateur ». Il suffit pour cela que le cybercriminel connaisse le numéro de téléphone de sa victime.
« Avec un peu plus de recherche et de développement, nous pensons que des attaquants compétents seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils concernés à distance et sans se faire remarquer », peut-on lire dans la note de blog du projet Zero.
Les 14 autres vulnérabilités ne sont pas aussi dangereuses. Pour être exploitées, elles nécessitent en effet un opérateur de réseau mobile malveillant, ou un attaquant disposant d’un accès local à l’appareil. Elles restent toutefois problématiques.
Les appareils concernés par ces failles sont les suivants :
- les terminaux mobiles récents de Samsung, notamment les gammes S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 ;
- les terminaux mobiles récents de Vivo, notamment les gammes S16, S15, S6, X70, X60 et X30 ;
- les appareils des gammes Pixel 6 et Pixel 7 de Google ;
- tous les véhicules qui utilisent le chipset Exynos Auto T5123.
Le projet Zero recommande aux possesseurs de ces différents terminaux d’appliquer les dernières mises à jour de sécurité. Les appareils n’ayant pas encore reçu de correctif doivent, pour se protéger, désactiver les appels en WiFi et le Voice-over-LTE (VoLTE).
Les chercheurs de Google ont par ailleurs décidé de ne pas détailler les quatre vulnérabilités critiques pour l’instant. Ils estiment que cela bénéficierait davantage aux attaquants qu’aux défenseurs.
« En raison de la combinaison très rare du niveau d’accès que ces vulnérabilités offrent et de la rapidité avec laquelle nous pensons qu’un exploit opérationnel fiable pourrait être conçu, nous avons décidé de faire une exception à la politique de divulgation pour les quatre vulnérabilités qui permettent l’exécution de code à distance », lit-on dans la note de blog.