Le chercheur reçoit 70 000 dollars de Google pour avoir signalé le problème
La mise à jour de sécurité publiée par Google en novembre a permis de corriger une vulnérabilité assez sérieuse qui pouvait permettre à une personne de contourner l’écran de verrouillage de nombreux téléphones Android en moins d’une minute sans aucun logiciel ou outil spécial. En effet, le chercheur en cybersécurité David Schütz a accidentellement trouvé un moyen de contourner l’écran de verrouillage de ses smartphones Google Pixel 6 et Pixel 5 permettant à toute personne ayant un accès physique à l’appareil de le déverrouiller.
Le processus, étonnamment simple, ne nécessite qu’un accès physique à un téléphone et une carte SIM supplémentaire verrouillée par un code PIN. Il suffit d’échanger la carte SIM supplémentaire, de saisir trois fois un code incorrect pour la carte SIM et, enfin, de saisir le code PUK (Personal Unblocking Key) qui se trouve généralement sur la carte support de la carte SIM. Et avec ces simples étapes, l’écran de verrouillage disparaît.
Une découverte, un peu par hasard
Au début de l’été, le Pixel 6, de David Schütz est arrivé à court de batterie – jusqu’ici, rien d’extraordinaire, cela peut arriver à tous les utilisateurs. Après avoir rebranché son téléphone, il s’est vu demandé de saisir le code PIN de sa carte SIM. Or, voilà, à peine rentré d’un voyage de 24h, le chercheur en sécurité n’avait clairement pas la tête à ça. Il a malgré tout tenté une, puis deux, puis trois codes espérant conjurer son trou de mémoire à temps. Le chercheur a dû, comme tout utilisateur, passer par la procédure de récupération de la carte SIM verrouillée en utilisation son code PUK, pour Personal Unblocking Key.
Après l’avoir exhumé d’un fond de placard, il lui a été demandé de choisir un nouveau code PIN. Il s’est alors retrouvé face à l’écran de verrouillage « mais quelque chose n’allait pas », se rappelle-t-il dans le post où il décrit sa découverte. En effet, l’appareil de David Schütz ne lui a pas demandé le code pour déverrouiller son appareil comme il l’aurait dû. Au lieu de cela, il a affiché un message étrange indiquant que le smartphone démarrait. Un état qu’il n’a bien voulu quitter qu’après avoir été redémarré. A la surprise de l’expert en sécurité, il lui a alors seulement été demandé d’utiliser le lecteur d’empreinte du smartphone. Ce qu’il a fait et a ainsi pu utiliser son smartphone. Néanmoins, normalement, un appareil Android impose toujours de saisir un code de déverrouillage ou le dessin d’authentification après un redémarrage pour des raisons de sécurité évidente. Se voir offert directement l’accès aux lecteurs d’empreintes digitales n’était donc pas normal. Voilà pourquoi Davi Schütz s’est promis d’approfondir la question un peu plus tard.
Reproduire le problème et le faire connaître
Le lendemain, après avoir redémarrer son smartphone, saisi trois fois le mauvais code PIN, entré le code PUK, et saisi le nouveau code PIN, il s’est retrouvé face au même message bloquant. Il a répété l’opération plusieurs fois, jusqu’à ce qu’il oublier de rebooter son téléphone et qu’il se trouve alors face à un écran déverrouillé normal, verrouille ensuite l’appareil, change de carte SIM, réinitialise son code PIN. C’est là que, sans raison aucune, son smartphone a affiché son écran d’accueil déverrouillé.
Surpris, David Schütz a recommencé : verrouiller le smartphone, réinsérer la carte SIM, réinitialiser le code PIN, et, une fois encore, il s’est trouvé face à un Pixel 6 déverrouillé. Une fois qu’il a été sûr de son fait, il a tenté de reproduire la manipulation sur son Pixel 5, et elle a fonctionné également.
Il suffirait donc à une personne mal intentionnée de prendre en main un Pixel, d’y insérer sa carte SIM verrouillée, dont il connaît le code PUK, et de déverrouiller l’appareil sans encombre.
David Schütz a alors rempli un rapport pour décrire la faille qu’il venait de découvrir. Elle a été validée assez rapidement. Après avoir consulté le programme de bug bounty, il s’est aperçu que sa trouvaille lui donnait normalement droit à une prime maximale de 100 000 dollars. Mais n’a pas reçu de nouvelles pendant une bonne trentaine de jours, avant de recevoir un mail lui indiquant que son rapport était un doublon d’un autre rapport.
Deux mois plus tard, il apprenait qu’un correctif était toujours en cours de développement. Au mois de septembre, il indiquait à Google qu’il divulguerait sa découverte le 15 octobre, mais les ingénieurs du géant américain lui répondaient que le patch ne sortirait pas en octobre…
Finalement, nous voilà en novembre, le patch vient d’être publié. Et à en croire David Schütz, Google ne serait mis à corriger ce bug qu’après son rapport et face à son incidence. On serait tenté de le croire. Pourquoi ? Parce qu’il s’est vu attribué une récompense de 70 000 dollars. Comme quoi, avec un peu de chance et de persistance, on finit toujours par obtenir un (gros) petit quelque chose…
Cette situation démontre la nécessité d’effectuer des mises à jour de sécurité régulières et à long terme pour les téléphones qui sont probablement encore en service. Naturellement, toute personne possédant un téléphone potentiellement vulnérable devrait installer les dernières mises à jour de sécurité dès qu’elles sont disponibles. En attendant, ce n’est pas une stratégie viable pour une utilisation régulière, mais redémarrer un téléphone sans le déverrouiller devrait empêcher les gens d’accéder à vos données privées.
source : developpez, 01net
