AirDroid fait la une de tous les médias depuis quelques heures, et pas forcément pour les bonnes raisons. Des experts en sécurité ont effectivement trouvé une nouvelle faille critique en examinant la solution. Elle pourrait potentiellement permettre à un hacker de récupérer les données personnelles de l’utilisateur, et même d’exécuter du code malveillant à distance. Pour l’heure, il n’existe aucun correctif.
Si ce nom n’évoque rien en vous, alors sachez que cette solution se présente sous la forme d’une gigantesque boîte à outils grâce à laquelle l’utilisateur peut gérer son téléphone depuis son navigateur web.
La mise en place est assez simple puisqu’il suffit d’installer l’application de l’éditeur sur son téléphone et scanner ensuite un code-barres pour faire le lien entre le terminal et le service.
AirDroid est utilisé par des millions d’utilisateurs
Et ensuite ? Il suffit de lancer un module pour afficher ses messages textes, ses contacts ou même les fichiers multimédias présents sur l’appareil, sans avoir besoin de poser les mains dessus.
AirDroid a pas mal évolué au fil des versions et il est parvenu à fédérer une véritable communauté autour de son service. Des millions de personnes l’utilisent ainsi.
Zimperium, une société reconnue dans le monde de la sécurité informatique, a demandé à ses meilleurs ingénieurs de se pencher sur son cas afin de déterminer son niveau de sécurité. Ces derniers ont alors eu la surprise de constater que tous les échanges entre l’application mobile et les serveurs de l’éditeur n’étaient pas forcément chiffrés.
En réalité, seul le message principal est protégé par un algorithme DES et toutes les autres communications sont ainsi diffusées en clair.
AirDroid n’a toujours pas corrigé la faille
Mais ce n’est pas tout, car nos chercheurs ont aussi constaté que la clé de chiffrement était codée en dur dans l’application et donc très facile à récupérer. Un attaquant utilisant le même réseau peut donc potentiellement intercepter certains de ces échanges et les déchiffrer pour ensuite récupérer des informations comme l’adresse électronique de l’utilisateur, son numéro IMEI ou même son mot de passe chiffré.
Il y a encore un autre problème. AirDroid utilise aussi le protocole HTTP pour les mises à jour de l’application. Un hacker peut donc exploiter la faille pour intercepter leurs paquets et les modifier dans la foulée, à l’insu de l’utilisateur. Ce n’est pas une bonne nouvelle, d’autant que la solution ne vérifie pas l’intégrité des mises à jour et elle dispose en plus de droits étendus sur le terminal.
Zimperium a immédiatement fait remonter les fruits de son investigation à l’éditeur de AirDroid, bien sûr, mais ce dernier n’est visiblement pas pressé de corriger la faille. Il a effectivement été notifié en mai dernier et la vulnérabilité est toujours présente dans l’application.
