La réputation du Project Zero n’est plus à faire. L’équipe de chercheurs en sécurité, financée par Google, a découvert de gros problèmes de sécurité au sein des modems Exynos. Au total, elle comptabilise 18 failles dans ces puces fabriquées par Samsung. Ces dernières sont présentes sur de nombreux appareils de la marque sud-coréenne, mais pas seulement.
Dans un billet de blog, les chercheurs indiquent que quatre failles sont particulièrement graves. « Les tests effectués par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau du baseband sans interaction de l’utilisateur », précise l’équipe de Google. Et d’ajouter : « Il suffit que l’attaquant connaisse le numéro de téléphone de la victime ». Le baseband contrôle la partie téléphonie d’un smartphone.
Ils estiment que des « attaquants qualifiés » seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils affectés. Le tout « de manière silencieuse et à distance ». Les quatorze autres failles zero-day ne sont pas aussi dangereuses. En effet, elles nécessitent soit un opérateur de réseau mobile malveillant, soit un attaquant disposant d’un accès local à l’appareil.
Quels sont les appareils concernés ?
Parmi les appareils concernés, on trouve des modèles populaires de Samsung comme les Galaxy S22 et Galaxy A53. Google n’est pas non plus épargné avec la présence des Pixel 6 et Pixel 7 dans cette liste. Enfin, il y a des appareils vivo et des véhicules équipés d’une puce Exynos Auto T5123. Voici les différents modèles concernés :
- Samsung : Galaxy S22, Galaxy M33, M13, M12, Galaxy A71, A53, A33, A21s, A13, A12 et A04
- Vivo : S16, S15, S6, X70, X60 et X30
- Google : Pixel 6 et Pixel 7
- Véhicules équipés de la puce Exynos Auto T5123
Notez que vous avez pu lire que des montres équipées d’une puce Exynos W920 (comme les Samsung Galaxy Watch4 et Galaxy Watch5) faisaient partie de cette liste. Samsung a réagi et confirme que ce chipset n’est pas concerné par ces failles. Du côté des smartphones, une première liste mentionnait la présence du Galaxy A21. C’est finalement le Galaxy A21s, précise Samsung Mobile.
Enfin, il faut tenir compte du fait que certains appareils embarquent des puces différentes en fonction des marchés. On peut citer le cas du Galaxy S22 qui dispose d’une puce Exynos en Europe et d’une solution Snapdragon (Qualcomm) dans certains pays. Les Galaxy S23 sont épargnés, car ils embarquent des puces Qualcomm dans le monde entier.
Que faut-il faire ?
Certains appareils commencent à recevoir des mises à jour correctives. Les chercheurs du Project Zero évoquent le cas des Google Pixel qui ont reçu la mise à jour de sécurité de mars 2023. Toutefois, le déploiement peut prendre du temps et certains Pixel 6, 6 Pro ou 6a ne l’ont pas encore reçu. La publication des patchs de sécurité pourra varier en fonction des constructeurs.
Les spécialistes recommandent de procéder à l’installation de la mise à jour dès que celle-ci est disponible. En attendant, ils expliquent que les utilisateurs peuvent désactiver les appels wifi et la Voix sur LTE (VoLTE) dans les paramètres.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.