Des chercheurs ont dévoilé il y a quelques jours l’existence d’une importante faille de sécurité, permettant d’intercepter le trafic entre des smartphones et des serveurs Internet, par exemple pour injecter du contenu malicieux, alors que l’utilisateur visite un site tout a fait légitime.
Une fois n’est pas coutume, la faille n’est pas du côté des smartphone eux-mêmes, mais de certains équipements réseau Cisco, de la série ASA 5500. Identifiée et reproduite sur le réseau d’AT&T avec des smartphones Android de divers constructeurs, cette faille concernerait également au moins 47 autres opérateurs dans le monde (soit environ un tiers des 150 opérateurs testés par les chercheurs), et les experts en sécurité estiment qu’il n’y a aucune raison que les autres systèmes pour smartphones ne soient pas également concernés, y compris iOS.
Comme exemples d’exploitations de cette faille, les chercheurs mentionnent la possibilité de poster des contenus à l’insu de l’utilisateur sur les réseaux sociaux, de lui ajouter des contacts, d’injecter des messages dans des conversations de messagerie instantanée, etc… Le tout pouvant être effectué sans installer le moindre malware sur le smartphone de la victime, même si l’exploitation reste plus aisée en installant au préalable un malware, rendant donc Android potentiellement plus vulnérable.
Concrètement, la vulnérabilité se situe au niveau des firewalls (un comble !) utilisés par les opérateurs. Elle permet à l’attaquant de connaitre à l’avance les numéros de séquence des paquets TCP (le protocole réseau situé juste en dessous des protocoles applicatifs comme le HTTP ou l’IMAP), et ainsi de remplacer toute la communication avec un serveur distant, sans que l’utilisateur ne puisse s’en rendre compte. Depuis la fin des années 90, ces numéros de séquence sont générés de façon pseudo-aléatoire, pour compliquer les attaques, mais certaines informations conservées par les firewalls pour vérifier la validité des numéros de séquence permettent de casser le caractère aléatoire et de prédire les numéros à venir.
Selon les chercheurs, l’exploitation de cette faille peut être bloquée simplement en désactivant la fonction de vérification des numéros de séquence dans les firewalls des opérateurs, mais il est peu probable que les opérateurs le fassent, car cette vérification permet notamment de réduire la charge sur le réseau en bloquant le plus tôt possible certains paquets indésirables.