Passer au contenu

La sécurité des Samsung Galaxy mise à mal par un hacker anonyme

Un chercheur en sécurité s’est penché sur la plateforme de chiffrement dédiée aux terminaux Samsung. Il découvre des codes PIN stockés en clair et des générateurs de clés particulièrement faibles. Mais Samsung réfute ses allégations.

La technologie Samsung Knox, qui est censée sécuriser les données sur les smartphones Galaxy, est-elle réellement fiable ? La question se pose, car un chercheur en sécurité qui se fait appeler « Ares » a publié, il y a quelques jours, une analyse de cette plateforme logicielle, sur la base d’un smartphone Galaxy S4.

L’idée de Samsung Knox est de créer un espace « sécurisé et isolé » pour les données et applications sensibles au sein du téléphone. Celles-ci s’appuient sur un système de fichiers parallèle, où tout est chiffré. L’utilisateur y accède de manière sécurisée, par un mot de passe. Or, en regardant de plus près, notre hacker a découvert un certain nombre de vulnérabilités inquiétantes.

Ainsi, au moment de l’activation de Samsung Knox, l’appareil lui demande de définir un code PIN qui permettra de récupérer son mot de passe en cas d’oubli. Mais, en se baladant dans le système de fichiers, il a découvert un fichier qui n’était pas du tout chiffré et dans lequel figurait son code PIN. En soi, c’est déjà un très mauvais point.

Mot de passe stocké sur le terminal

Autre bizarrerie : quand il entre ce code PIN de récupération, le logiciel répond par une petite indication censée mettre l’utilisateur sur la bonne piste, à savoir la première et la dernière lettre du mot de passe et sa longueur. « Il est donc évident que Samsung Knox sauvegarde le mot de passe quelque part sur le terminal », souligne l’auteur, qui estime que c’est une très mauvaise stratégie de sécurité, car cela représente une faille intrinsèque dans le système.

Allant plus loin dans son analyse, le chercheur en sécurité découvre que le mot de passe est stocké dans un fichier intitulé « containerpassword_1.key » (bien joué). Heureusement, ce fichier est chiffré,  mais la clé de chiffrement est générée à partir du numéro d’identification du terminal (Android ID)… qui est lui-même aisément accessible. Donc là encore, il y a un risque.

Evidemment, Samsung n’est resté insensible à ces allégations. Dans une note de blog, le constructeur avoue que, pour des raisons techniques, le mot de passe est bien stocké sur le terminal, mais de manière très sécurisée, avec à la clé des procédures de blocage en cas d’accès non autorisé. Samsung nie également s’appuyer sur l’identifiant Android ID pour générer des clés de chiffrement.

Samsung recommande une version plus récente

Enfin, le fournisseur précise que le logiciel testé par le chercheur anonyme serait une ancienne version de Knox et qu’une version plus récente et plus sécurisée, baptisée « My Knox ». « Ares », de son côté, rétorque ne pas avoir pu installer cette version, car elle ne fonctionnerait que sur Galaxy S5 et  Galaxy Note 4, les smartphones haut de gamme les plus récents de la marque. La question de la sécurité de Knox reste donc ouverte sur des modèles plus anciens, qui se sont écoulés par millions.

Quoi qu’il en soit, cette histoire tombe assez mal pour Samsung dont les produits viennent d’être certifiés par le gouvernement américain pour pouvoir être utilisés dans le cadre d’échanges de données classifiées. En somme, Knox a été validé par la NSA pour son haut niveau de sécurité. A la vue des découvertes de « Ares », il est permis d’en douter.

Sources :

Note de blog de « Ares »
Note de blog de Samsung

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn