StageFright

Dernière mise à jour : 2 juillet 2018

Dévoilée durant l’été 2015, StageFright est une faille concernant les systèmes Android. Elle a été découverte dans une bibliothèque multimédia servant à lire des vidéos envoyées par MMS, et permettrait de prendre le contrôle du terminal (smartphone ou tablette) à l’insu de l’utilisateur.

Qui est concerné ?

Cette bibliothèque est  utilisée par les systèmes Android depuis la version… 2.2, ce qui fait qu’environ 95% des terminaux Android seraient, au final, concernés.

Les versions les plus vulnérables seraient les 2.3 (« Gingerbread ») et 4.0 (« Ice Cream Sandwich »). A l’inverse, les versions plus récentes (ultérieures à  4.0) semblent légèrement moins vulnérables.

Quels sont les problèmes ?

Les principaux problèmes sont de deux natures :

En effet, l’écosystème Android est très fractionné et hétérogène : de multiples versions de l’OS sont actives, et le déploiement des mises-à-jour dépend fortement des partenaires (constructeurs et opérateurs). Il est donc malheureusement possible que le correctif n’atteigneque très lentement (voire jamais) certains terminaux Android.

Et maintenant ?

Suite à cette faille, Google, Samsung et LG se sont engagés sur la voie de mises-à-jour mensuelles du système d’exploitation Android, à l’instar de ce que fait Microsoft. C’est une bonne chose en termes de sécurité, mais cela ne représente qu’une partie seulement des terminaux.

La seule solution efficace (en attendant la correction au niveau système) est de désactiver le chargement automatique des photos et vidéos (principalement dans les applications de gestion de SMS/MMS comme Hangout), et de ne pas lire les SMS/MMS de provenance inconnue. Hélas, là encore, le mode opératoire dépend de la version d’OS Android utilisée… On peut le trouver par exemple chez Avast (https://www.avast.com/fr-fr/faq.php?article=AVKB230).