Samsung : une faille permet d’effacer à distance certains terminaux sous Android

Attention, les amis, parce que si vous avez un smartphone Samsung sous Google Android à la maison, alors ce qui suit est de la plus haute importante. C’est effectivement à l’occasion de la conférence Ekoparty 2012 – une conférence portant sur la sécurité – que la lumière a été faite sur une vilaine faille touchant tous les mobiles du constructeur sud-coréen. Une faille qui permet tout simplement à des gens mal intentionnés d’effacer certains mobiles Samsung à distance et sans grand effort. Ce n’est pas spécialement sympathique, on est d’accord, mais sachez tout de même qu’un correctif devrait être prochainement publié. Et on espère d’ailleurs que ça se fera vite.

D’après ce qu’on sait, cette faille ne concernerait pas tous les mobiles Samsung sous Google Android. En réalité, seuls quelques modèles seraient affectés : le Galaxy S3, le Galaxy S2, le Galaxy Beam, le Galaxy S Advance et le Galaxy Ace. Toutefois, il est tout de même préférable de rester méfiant car rien ne dit que cette liste est complète.

Samsung : une faille permet d'effacer à distance certains terminaux sous Android

Mais la question que vous vous posez peut-être, c’est de savoir comment fonctionne cette faille, non ? En réalité, c’est très simple, elle repose simplement sur un code secret utilisé par Samsung pour réinitialiser certains de ses mobiles avec les paramètres usines. Un code secret que je préfère ne pas indiquer ici afin d’éviter qu’il soit exploité par de charmants petits plaisantins. En gros, sachez juste que cela ressemble à quelque chose dans ce genre : *7331*44423#. Bon, jusque là, rien de très alarmant.

Là où les choses deviennent drôles (ou pas), c’est qu’il est possible d’envoyer à distance ce fameux code aux terminaux cités un peu plus haut, et ce en passant soit par un vilain SMS cliquable, soit par un QR Code, soit directement par le NFC. Pire, en bidouillant avec une iframe, on peut même intégrer ce code à une page web afin de le faire automatiquement exécuté sur les mobiles passant par là. Genre un de tes futurs ex-copains t’envoie un lien sur Twitter, tu tapes dessus, la page s’ouvre et *vrouuuuuuuuf*, tu n’as plus rien sur ton smartphone.

Et oui car la cerise sur le gâteau, c’est que ce code ne nécessite pas de confirmation de la part de l’auteur. Votre mobile ne vous demandera donc pas si vous voulez le réinitialiser, il le fera automatiquement tout seul dans son coin. Ce qui aura bien évidemment pour effet de vous arracher quelques hurlements au passage, parce que ce n’est quand même pas chouette de perdre en quelques secondes tout le contenu stocké sur son smartphone.

Bref, on espère que Samsung va réagir assez vite et colmater la brèche avant qu’elle ne soit exploitée. Pour finir, je vous demanderai juste de ne pas mettre en avant le code en question. Notez d’ailleurs que je n’ai pas cité la source de cet article parce que cette dernière fait apparaître clairement le code en question. Je viendrai donc éditer cet article un peu plus tard lorsque la faille sera corrigée, ou lorsque la source aura décidé de planquer le code.