Le chercheur en sécurité Keegan Ryan a récemment découvert une importante faille (CVE-2018-11976) dans l’implémentation de l’algorithme de signature cryptographique ECDSA au niveau des puces Qualcomm des téléphones Android. Cette faille permet à un attaquant de récupérer des clés secrètes depuis l’environnement d’exécution sécurisé (Qualcomm Secure Execution Environment, QSEE). Il s’agit là d’une zone mémoire de la puce dans laquelle sont stockées les clés-maîtres de l’appareil et qui sert à réaliser les traitements de données les plus sensibles comme la génération de clés privés ou la création de signatures. Cette zone est isolée par rapport au reste du système d’exploitation. Aucune application ne peut y accéder, même si elle dispose des droits d’accès root.
Une attaque difficile à généraliser
En ciblant la mémoire cache d’un Nexus 5X par une attaque par canal auxiliaire, le chercheur en sécurité montre qu’il est pourtant possible de faire fuiter des informations depuis le QSEE et, par exemple, de retrouver une clé secrète ECDSA 256-bit qui a été générée auparavant. Cette attaque met à mal l’architecture de sécurité de centaines de millions de smartphones Android. Heureusement, elle est assez complexe à réaliser et n’est pas facile à généraliser, car elle nécessite une adaptation à chaque modèle de smartphone.
Alerté par le chercheur en sécurité, Qualcomm a d’ores et déjà publié un correctif. Dans un communiqué, le fabricant précise les 35 chipsets qui sont réellement impactés par cette faille. Ses puces les plus populaires, dont tous les SoC Snapdragon récents, sont touchées. Ce patch a été inclus dans la dernière mise à jour d’Android, datée du 1er avril. A charge, maintenant, aux opérateurs et aux différents fabricants de la diffuser le plus rapidement possible. Ce n’est pas la première fois qu’une faille est trouvée dans l’environnement QSEE. En 2016, le chercheur Gal Beniamini avait déjà déniché une vulnérabilité similaire.
Sources : ZDnet, papier scientifique
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.