Xiaomi : des millions de téléphones étaient piratables à distance

Xiaomi fait beaucoup parler de lui depuis ce matin et pas forcément en bien. Cela n’a d’ailleurs rien de surprenant car des chercheurs en sécurité travaillant pour IBM ont découvert que les mises à jour déployées par le constructeur chinois n’étaient pas suffisamment sécurisées. Pire, le système mis en place permettaient même à un hacker de lancer des attaques de type “man in the middle”. Fort heureusement, l’entreprise a corrigé le tir depuis.

Ces attaques sont très spécifiques. Elles consistent en effet à intercepter les communications faites entre deux appareils à l’insu de leurs utilisateurs afin de voler leurs données ou de modifier les paquets échangés.

Faille Xiaomi

Si vous avez un terminal Xiaomi, il va falloir penser à le mettre à jour.

Il existe plusieurs méthodes pour mener des attaques de ce type. Parmi les plus connues, ou trouve le DNS Poisoning (altération des serveurs DNS) ou l’ARP Spoofing. Dans ce cas précis, le hacker doit se trouver sur le même réseau local que sa cible et se faire passer pour un relai.

Xiaomi n’avait pas suffisamment sécurisé sa plateforme

En procédant de la sorte, il peut ainsi intercepter les paquets échangés sur le réseau en toute discrétion.

Xiaomi a pris l’habitude de déployer les mises à jour de sa plateforme over the air, exactement à l’image de ce que proposent la plupart de ses concurrents. Le problème, c’est que le système mis en place n’était pas suffisamment sécurisé. Ce n’est même rien de le dire.

Un paquet intégré à toutes les versions de MIUI utilisait en effet une connexion HTTP pour être mis à jour, sans aucun chiffrement derrière.

Conséquence directe, il était tout à fait possible pour un pirate d’usurper l’identité du serveur utilisé par la plateforme pour pousser son propre paquet sur les terminaux de la marque. En procédant de la sorte, un hacker expérimenté aurait donc très bien pu infecter des millions de terminaux sans grande difficulté.

La faille a été corrigée dans MUIU 7.2

Les chercheurs à l’origine de cette découverte ont creusé un peu et ils se sont rendus compte que toutes les anciennes versions de MUIU présentaient cette faille. Problématique, d’autant que les terminaux de Xiaomi rencontrent un franc succès.

L’entreprise chinoise en a même vendu un peu plus de 70 millions l’année dernière, c’est pour dire.

La bonne nouvelle, c’est que cette vilaine faille a été corrigée dans la dernière version de la plateforme, et donc dans MIUI 7.2. Si vous avez un terminal de la marque, il sera donc judicieux de l’installer au plus vite.