Si vous utilisez un OnePlus 6, ne le laissez pas sans surveillance. Le chercheur en sécurité Jason Donenfeld vient de découvrir une faille simplissime qui permet de prendre le contrôle de l’appareil et d’accéder à ses données, même s’il est verrouillé. Il suffit pour cela de le brancher pendant quelques minutes à un ordinateur.
The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd
— Edge Security (@EdgeSecurity) June 9, 2018
Dans cette vidéo envoyée sur Twitter, le chercheur montre en effet que si le OnePlus 6 est redémarré en mode Fastboot, il est possible de booter sur n’importe quel autre système d’exploitation et de configurer un accès root. C’est le principe de base de ce mode, qui regroupe à la fois le protocole de diagnostic spécial, qui permet de booter depuis une image système sur un PC en USB, et le logiciel qui s’exécute sur le smartphone.
Néanmoins, en théorie, ce mode ne devrait pas être accessible de la sorte. En effet, dans la vidéo, on voit que le bootloader est verrouillé, ce qui devrait donc empêcher l’exécution d’un autre système.
Il est vrai que certains fournisseurs autorisent les utilisateurs à déverrouiller leur bootloader, mais les données stockées sont alors automatiquement effacées, par mesure de sécurité. Rien de tout cela dans le cas du OnePlus 6. Non seulement il est possible d’exécuter un autre système, mais en plus les données sont parfaitement conservées et donc accessibles à une personne malveillante.
Un patch est en préparation
Les risques potentiels sont graves et multiples. Si un utilisateur se fait voler son OnePlus 6, le voleur peut très simplement accéder à la totalité des données stockées sur l’appareil. Si l’utilisateur laisse traîner son OnePlus 6, par exemple dans sa chambre d’hôtel, quelqu’un disposant d’un accès privilégié pourrait en profiter pour voler des données ou installer un logiciel d’espionnage (Evil Maid Attack).
Alerté par Jason Donenfeld, OnePlus a annoncé qu’une mise à jour serait disponible prochainement pour remédier à ce problème. Cette faille de sécurité fait suite à une autre découverte il y a quelques semaines. Des chercheurs en sécurité néerlandais ont montré qu’une simple photo permettait de déjouer l’authentification par reconnaissance faciale.
I printed my face to unlock my OnePlus 6 for the lulz… it worked ¯_(ツ)_/¯ pic.twitter.com/rAVMq8JKBr
— rik van duijn (@rikvduijn) May 29, 2018
Pour ceux qui cela intéresse, voici également notre test du OnePlus 6 qui, en dépit de ces faiblesses en matière de sécurité, reste un très bon smartphone.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.