Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

vers Virus Info


[accueil]  [menu]  [suivez-nous !]  [chercher]


2025-02-04 13:27

Android : un peu comme si les WC étaient verrouillés de l’extérieur


Parfois, un piratage réussi ne repose pas sur une faille de sécurité isolée, mais consiste en un enchaînement d’opérations sur des failles diverses. C’est dans ce contexte que nous avons constaté, avec surprise, un défaut dans plusieurs implémentations d’Android que ce soit sur smartphones ou sur tablettes.

En effet, trop souvent il est possible d’activer le BlueTooth sur un appareil verrouillé par code PIN ou autre, simplement en faisant défiler la barre d’état du haut vers le bas, puis en cliquant sur l’icône idoine. Dans certains cas, il est possible aussi, ou à la place, de passer par l’assistant vocal en demandant « Ok Google, active le BlueTooth ».

En quoi cela est-il un problème ? Il arrive que des failles soient trouvées dans le BlueTooth, que cela soit au niveau du protocole lui-même, de la puce utilisée ou des couches logicielles. Dans certains cas, il est possible d’attaquer, par exemple, grâce à des écouteurs appairés situés à proximité en s’en prenant à la connexion existante. Dans d’autres cas, les failles sont exploitables directement contre le terminal y compris grâce à un dispositif pirate qui n’a jamais été configuré sur l’appareil victime.

Malheureusement, trop souvent avec Android, les failles ne sont pas corrigées, car les constructeurs ne vont pas au-delà d’un an ou deux de mise à jour, sauf exceptions. Dans le pire des cas, un appareil laissé sur une table le temps d’aller aux toilettes serait donc piratable, ce que la victime ne pourrait imaginer possible compte tenu du verrouillage. Le pirate pourrait alors injecter un logiciel de prise de contrôle à distance et/ou extraire des données. Ceci ne relève pas de la science fiction, citons quelques failles découvertes au niveau de BlueTooth : CVE-2023-45866, BlueRepli, BrakTooth, BLURtooth, BLUFFS, etc. Et il est fort probable que de nouvelles failles seront trouvées.

Voici une liste (constituée grâce à l’aide de nos lecteurs) d’appareils dont le BlueTooth est activable manuellement malgré le verrouillage :
Samsung Galaxy S10e (LineageOS 20), Samsung Galaxy S20 FE (par Gemini uniquement), Google Pixel 6, Google Pixel 9 Pro XL, Xiaomi Mi9, Nothing Phone (1), Poco X7 (HyperOS), ROG Phone 9 (Android 15), Xiaomi RedMi note 10S, Xiaomi RedMi note 11 pro 5G (hyperOS 1.0.7), Nokia 7 Plus (Android 10, Fairphone 3 (/e/OS équivalent d’Android 13), Fairphone 4 (/e/OS).

Voici une liste d’appareils non concernés :
Samsung Galaxy S20, Samsung Galaxy S21, Samsung Galaxy S23 (One UI 6.1), Samsung Galaxy S23+, Samsung Galaxy A13 (Android 14), Samsung Galaxy A35 5G, Samsung Galaxy A54, Google Pixel 7a (mais sous GrapheneOS), ou de manière plus générale MagicOS 8 (Honor) et One UI 6 (Samsung)

Il est possible que vous ayez de votre côté des résultats différents en fonction de votre version du système d’exploitation.Vous vous croyez en sécurité ? Un raisonnement similaire pourrait être appliqué avec l’activation du Wi-Fi sur un appareil verrouillé, et les listes communiquées ici seraient alors différentes.

Nous maintenons notre conseil de désactiver BlueTooth et Wi-Fi autant que possible, à combiner avec celui de ne jamais laisser son appareil accessible à un tiers.


Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

Vous cherchez un ancien numéro ? Nous avons peut-être un exemplaire pour vous ! !

Certains liens présents dans cette page peuvent être affiliés. Sauf si c'est spécifié dans le texte, cela ne veut pas dire que la rédaction vous recommande les produits/services en question.

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage]  [RSS]  [archives]
[contact & legal & cookies]  [since 1997]