La vulnérabilité Heartbleed menace les utilisateurs d’Android

Déterminer le nombre exact de terminaux Android effectivement menacés par la vulnérabilité Heartbleed d’OpenSSL est difficile. Le 9 avril, Google a indiqué que seuls les terminaux sous Android 4.1.1, lancé en juillet 2012, étaient affectés, et distribuer les informations nécessaires à la correction de la vulnérabilité auprès de ses partenaires.

Selon les statistiques de Google, environ un tiers des utilisateurs de son système d’exploitation mobile s’appuient encore sur sa version 4.1. Mais le géant du Web ne fournit pas plus de précisions, laissant planer le flou sur le nombre de terminaux effectivement vulnérables. Toutefois, une source familière du marché Android a indiqué à SearchSecurity que les utilisateurs d’Android 4.1.1 représentent une portion relativement faible des utilisateurs de Jelly Bean.

La régie publicitaire mobile Chitika a de son côté réalisé une analyse du trafic Web entre les 7 et 13 avril derniers pour le britannique The Guardian. Et celle montre que 19 % des utilisateurs de Jelly Bean emploient des terminaux fonctionnant sous Android 4.1.1. Et nos confrères d’estimer à 4 millions le nombre de terminaux vulnérables outre-Atlantique, et à 10 millions dans le monde entier. Les terminaux signés Apple et Microsoft ne sont pas affectés.

Des scénarios d’attaque peu réalistes

Mais si Heartbleed génère un risque théorique concernant des millions d’utilisateurs d’Android, les experts de sécurité mobile estime que la faisabilité des attaques exploitant cette vulnérabilité est discutable.
Marc Rogers, chercheur principal en sécurité chez Lookout, relève ainsi que la fonctionnalité heartbeat concernée par la vulnérabilité n’est pas forcément activée sur tous les terminaux potentiellement concernés. De quoi réduire le nombre de cibles.

Mais les utilisateurs de terminaux pour lesquels la fonctionnalité heartbeat est activée apparaissent bien démunis. Pas question pour eux de désactiver cette fonctionnalité manuellement. Et il faut donc attendre une mise à jour dont le déploiement est connu pour être lent. Toutefois, selon Rogers, un attaquant devrait cibler individuellement les terminaux affectés, de quoi limiter le risque global.

En outre, l’architecture même d’Android réduit le risque : « la mémoire à laquelle [un attaquant] pourrait accéder [en exploitant la faille] serai limitée à celle allouée au programme procédant à la requête. » Dans le cas d’un navigateur, les seules données mises en péril seraient ainsi celles collectées par celui-ci. Ce que ne signifie pas pour autant l’absence d’implications sérieuses…

Pour Jeff Forristal, directeur technique de Bluebox Security, la complexité est là trop importante : pour un attaquant, l’attaque côté serveur est bien plus prometteuse que l’attaque côté client. Reste ensuite les fruits à retirer d’une compromission. Et là encore, les perspectives sont bien meilleures côté serveur que côté client.

Au final, pour T. Charles Clancy, expert et professeur associé de Virginia Tech, il apparaît douteux que Heartbleed représente la moindre menace pour les utilisateurs de terminaux Android, la fenêtre d’opportunité étant notamment trop brève.

Le véritable risque concerne in fine les applications tierces - notamment de Cloud - et leurs utilisateurs. Sans le débridage des terminaux - ou rootage - qui fait sauter les verrous intégrés à Android pour lutter contre les applications frauduleuses.