A priori, le cryptage à la sauce Android n’est pas aussi performant, que celui d’Apple. C’est ce que fait ressortir un chercheur en sécurité informatique qui, après l’affaire qui opposait le FBI à la marque à la pomme a décidé de voir ce que valait Android. Bilan, il a réussi à casser le chiffrement de Google, sans difficulté.
Le chiffrement sur Android, cela n’est pas vraiment cela
Gal Beniamini, un chercheur en sécurité, a fait une découverte plutôt inquiétante, d’autant qu’il précise qu’au moins 4 smartphones Android sur 10 sont vulnérables. Il a étudié la méthode de chiffrement de Google, qui s’avère assez facile à décrypter. Elle se base sur le code Pin et sur un logiciel qui fournit une clé maitre, le tout stocké sur le smartphone dans une zone de la mémoire, nommée Trustzone.
C’est ce que reproche le chercheur, car il suffit de trouver une simple faille sur la Trustzone pour que toutes les données soient à jour. Il a prouvé ses dires en trouvant non pas une, mais deux failles et il est parvenu à exploiter l’une d’elles pour récupérer la clé maître et pour effectuer une copie des données cryptées.
Une fois cela terminé, il a fait tourner un simple logiciel de décryptage par force brute et le tour était joué ! Cette technique fonctionne surtout avec les smartphones fonctionnant sous Android, équipés d’un des chipsets Qualcomm et ils sont nombreux… On comprend donc le risque que cette méthode de chiffrement représente pour des millions d’utilisateurs. Google et Qualcomm ont déjà proposé une correction pour les deux failles, mais cela n’enlève pas le problème pour deux raisons.
La première, maintenant que la technique est connue, il reste juste aux hackers de dénicher de nouvelles failles ou plus simple encore, les mises à jour de systèmes d’exploitation sont très rares chez les constructeurs. Donc même si du côté de chez Google la faille est patchée, chez les constructeurs cette correction ne sera effective que dans plusieurs semaines, voire mois dans certains cas. Le temps pour les hackers de se faire plaisir…
