Une faille de sécurité découverte dans des smartphones HTC [MAJ]

Mise à jour du 4 octobre : HTC reconnaît la faille

HTC reconnaît que ses smartphones Android sont victimes d’une faille de sécurité et prépare donc un correctif. Dans un communiqué, la firme indique qu’elle a « conclu que, bien que ce logiciel de HTC [Htcloggers.apk, NDLR] ne pouvait endommager les données des consommateurs, il existe une vulnérabilité qui pourrait être exploitée par une application de tierce partie ».

HTC précise qu’à sa connaissance, aucun de ses clients n’a été affecté par cette faille… La firme a par ailleurs expliqué qu’elle travaillait à publier rapidement une mise à jour de sécurité pour les mobiles concernés. Elle demande enfin à ses clients de faire attention lorsqu’ils « téléchargent, utilisent, installent et mettent à jour des applications ne provenant pas de sources de confiance ».

Première publication le 3 octobre 2011

C’est ce que l’on peut appeler une grosse tuile. Plusieurs smartphones HTC (comme l’Evo 3D) présenteraient une importante vulnérabilité permettant à n’importe quelle application d’accéder à de nombreuses données personnelles. C’est ce qu’affirme, preuves à l’appui, Trevor Eckhart, un expert en sécurité qui travaille notamment sur les mobiles Android.

Il a en effet découvert dans la dernière mise à jour de certains téléphones de la marque taïwanaise un nouveau logiciel. Htcloggers.apk permet à HTC de récupérer une foule d’informations sur votre appareil et l’usage que vous en faites, afin de faire face à un éventuel problème du terminal : comptes utilisateurs, journaux système, processus en cours, localisation, numéros de téléphone récemment composés, adresse IP, etc.

HTC a tardé à réagir

Or Eckhart montre, au moyen d’une application de son cru (voir la vidéo ci-dessous), que ces informations, normalement accessibles à HTC seulement, peuvent facilement être récupérées par n’importe quel autre programme installé par la suite. Une seule autorisation lui suffit pour cela : l’accès à Internet, dont de nombreuses applications de l’Android Market disposent. Pire : même s’il est possible de désactiver la fonction de collecte et d’envoi d’informations dans les options du téléphone, cela n’empêche aucunement les applis trop indiscrètes de récupérer malgré tout ces données.

L’expert a prévenu HTC de cette importante faille de sécurité voici une semaine. N’ayant pas obtenu de réponse de la firme, il a évoqué publiquement le problème. Devant la polémique qui enfle, HTC a finalement réagi et, selon la BBC, indiqué qu’il allait enquêter sur ces faits « le plus rapidement possible », ajoutant qu’il « fournira[it] une mise à jour dès qu'[il] sera[it] à même de déterminer la véracité de ces affirmations et les mesures qu'[il] devra prendre si besoin ».

En attendant un correctif, les propriétaires de smartphone HTC devront redoubler de vigilance avant d’installer de nouvelles applications du marché Android, en vérifiant notamment qu’elles émanent bien d’éditeurs de confiance.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Eric Le Bourlout