Il est temps de passer aux mauvaises nouvelles, aux bonnes nouvelles et plus de mauvaises nouvelles encore.
Voici la mauvaise nouvelle. Un chercheur en matière de sécurité informatique a découvert une vulnérabilité dévastatrice, baptisée BroadPwn, qui peut compromettre à distance les appareils Android et les iPhones. La bonne nouvelle est que Google a déjà publié un patch Android qui corrige ce défaut. Par ailleurs, il n’a pas encore de solutions disponibles pour les iPhones, et à moins d’avoir un smartphone Pixel ou Nexus, votre appareil Android est toujours vulnérable.
Une faille encore assez mal connue
Les informations de vulnérabilité proviennent de deux sources. D’une part, d’Android lui-même, et d’autre part, du chercheur israélien Nitay Artenstein. La faille affecte les puces Wi-Fi broadcom, d’où son nom, et pourrait permettre aux malfaiteurs de pirater des smartphones sans aucune contribution de la part du propriétaire.
Les détails exacts de l’exploitation de la vulnérabilité ne sont pas encore disponibles, mais Artenstein et Google ont fourni quelques conseils. BroadPwn (ou CVE-2017-9417, pour utiliser la désignation officielle) tire profit du « système d’exploitation mystérieux et à source fermée HNDRTE », d’après le rapport publié par Artenstein. La faille semble affecter les puces BCM4354, 4358 et 4359 de Broadcom. Une grande variété de smartphones utilise ces puces pour se connecter à un réseau Wi-Fi, y compris des modèles de la marque HTC, LG, Google, Samsung et Apple.
Un correctif très sélectif
Nous avons expliqué plus haut que Google a déjà mis en ligne un patch correctif Android, mais cela ne signifie pas que tous les smartphones Android l’obtiendront. La plupart des fabricants de smartphones utilisent de légères variations sur le système d’exploitation Android. Lorsque, ou si vous obtenez un correctif BroadPwn, la comptabilité dépendra avant tout des versions de votre smartphone (Orange, Verizon, AT&T, etc.).
En définitive, il n’y a pas beaucoup d’autre chose que vous pouvez faire pour vous protéger, car les logiciels antivirus pour mobiles ne peuvent pas empêcher une attaque au niveau d’une puce Wi-Fi.