Les experts en sécurité ont détecté une grave vulnérabilité dans des millions de smartphones et tablettes équipés de puces Qualcomm, dont le célèbre Snapdragon. Mettez à jour votre appareil dès que le patch est disponible !
Une faille de sécurité critique a été découverte dans les smartphones Android équipés de certaines puces fabriquées par Qualcomm. Connue sous le nom de CVE-2024-43047, cette vulnérabilité affecte des millions d’utilisateurs à travers le monde. Il permettait aux pirates d’exploiter les smartphones en ciblant des appareils spécifiques avant que le problème ne soit identifié. Qualcomm, qui fabrique ces puces, a confirmé la menace et a commencé à déployer des correctifs pour protéger les appareils vulnérables.
Cette faille zero-day, c’est-à-dire une vulnérabilité inconnue des développeurs au moment de son exploitation, a été signalée pour la première fois par Google Project Zero, une équipe d’experts en cybersécurité spécialisée dans la recherche de failles critiques, et par Amnesty International Security Lab, qui se consacre à la protection des droits numériques et à la lutte contre la surveillance. Leurs travaux conjoints ont révélé que la faille avait déjà été utilisée par des pirates informatiques dans le cadre d’attaques limitées et ciblées. Ces campagnes de piratage ciblaient des individus spécifiques, mais on ne sait toujours pas exactement qui étaient les cibles et dans quel but ces attaques étaient menées.
Faille Qualcomm : 64 modèles de puces concernés
Comme le rapporte le site spécialisé TechCrunch, cette faille touche 64 modèles de processeurs Qualcomm, dont des puces très répandues, comme le Snapdragon 8 Gen 1, utilisé dans plusieurs smartphones populaires. Parmi les appareils concernés figurent des modèles de marques connues telles que Samsung, Xiaomi, OnePlus, Oppo et Motorola. Les smartphones et tablettes phares comme le Xiaomi 12, le Samsung Galaxy Tab S8, le OnePlus 10 Pro et le Sony Xperia 1 IV, tous sortis en 2022, sont potentiellement vulnérables.
Cette vulnérabilité permet aux attaquants d’accéder à la mémoire des appareils infectés, exposant ainsi les utilisateurs à un risque de corruption de données ou de vol d’informations personnelles. Toutefois, les attaques semblent avoir été limitées, selon les experts de Google et d’Amnesty, ce qui suggère que les pirates ciblaient des individus spécifiques plutôt que de lancer des attaques massives.
Faille Qualcomm : un correctif déployé progressivement
Face à la gravité de la situation, Qualcomm a réagi rapidement. Dans un bulletin de sécurité publié le 7 octobre 2024, la société américaine détaille les problèmes provoqués par la faille. Il indique surtout qu’il a commencé à déployer des correctifs pour corriger cette vulnérabilité. Ces correctifs ont été envoyés aux fabricants de smartphones, qui utilisent les puces vulnérables dans leurs appareils. Il appartient désormais à ces constructeurs, parmi lesquels Samsung, Xiaomi, OnePlus et Motorola, de distribuer les mises à jour de sécurité à leurs clients.
Cependant, le déploiement des correctifs peut prendre du temps. Chaque fabricant de smartphones doit adapter les mises à jour de Qualcomm à ses propres appareils avant de les diffuser via des mises à jour logicielles. Ce processus peut varier selon les marques et les modèles. Par exemple, certains téléphones plus anciens peuvent ne pas recevoir le correctif immédiatement, voire pas du tout, si les fabricants décident d’arrêter de les mettre à jour.
Il est donc essentiel que les utilisateurs concernés vérifient régulièrement la disponibilité des mises à jour logicielles sur leurs appareils. Généralement, les smartphones Android sont configurés pour installer automatiquement les mises à jour de sécurité, mais certains utilisateurs peuvent avoir désactivé cette option. Si un correctif de sécurité est disponible, il est fortement recommandé de l’installer immédiatement pour empêcher une exploitation future de la vulnérabilité.
Faille de Qualcomm : les experts internationaux inquiets
La découverte de cette vulnérabilité a également mobilisé plusieurs agences de cybersécurité à travers le monde. Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) a rapidement ajouté la faille à sa liste de vulnérabilités connues et exploitées. Elle a conseillé à Qualcomm et aux fabricants de smartphones de mettre en place des mesures correctives d’ici fin octobre 2024. En France, le CERT Santé, qui surveille les menaces de cybersécurité pesant sur les systèmes de santé, a également alerté sur cette faille, soulignant les risques potentiels pour la confidentialité des données, même si ces les risques restent relativement faibles pour le grand public.
Bien que les correctifs aient été rapidement déployés, le problème n’est pas entièrement résolu tant que tous les appareils vulnérables n’ont pas reçu la mise à jour de sécurité. De plus, une incertitude demeure quant à l’étendue de l’exploitation de cette faille. Les enquêtes de Google et d’Amnesty International sont toujours en cours et il ne peut être exclu que d’autres attaques ou tentatives d’exploitation de cette faille aient lieu avant que tous les appareils ne soient protégés.
