Selon des tests réalisés par le site WinRumors, les smartphones fonctionnant avec Windows Phone 7 sont susceptibles d’être victimes d’un blocage total de leurs systèmes de messagerie après une simple attaque via SMS, un message instantané ou la simple mise à jour de profil Facebook.
La réception d'un message sur l'écran d'accueil de Windows Phone 7 peut entraîner son blocage, et être le signe d'un piratage du téléphone. © WinRumors

La réception d'un message sur l'écran d'accueil de Windows Phone 7 peut entraîner son blocage, et être le signe d'un piratage du téléphone. © WinRumors

Kahled Salameh, un lecteur du site WinRumors, a donné l'alerte : « Un de mes correspondants de Facebook a posté du texte dans une police de caractère étrange. Son contact était épinglé à l'écran d'accueil de mon smartphone fonctionnant avec Windows Phone 7. Une fois que son post est apparu, le portable a planté !!! Trois autres de ses amis dotés de Windows Phone 7 ont rencontré le même souci ».

Avec lui, l'équipe de WinRumors a répété l'expérience sur un Titan de HTC et le Focus Flash de Samsung et les mêmes problèmes sont survenus. Le phénomène semble identique quelle que soit la version de Windows Phone 7 (7740 ou Mago RTM Build 7720).


Démonstration du blocage de Windows Phone 7 par la réception d'un message. © Youtube / WinRumors

Que se passe-t-il exactement ? En fait, le message reçu déclenche l'équivalent d'une attaque par déni de service (DoS). Rappelons que ce type d'attaque a pour objectif d'empêcher les utilisateurs d'accéder à un service, qu'il s'agisse d'un ordinateur ou d'un smartphone. C'est bien ce qui se passe dans notre exemple puisque, selon les tests de WinRumors, tout le hub de messagerie se bloque.

Concrètement, dès que l'utilisateur veut y accéder, le téléphone se fige dans les secondes qui suivent. Cette vulnérabilité provient du fait que, comme sur de nombreux smartphones, le système de messagerie du système d'exploitation fonctionne de façon unifiée. Autrement dit, des messages reçus via Windows Live Messenger, Facebook ou même par SMS sont interprétés de façon identique et reçus dans la même application. Si un message est malicieux, c'est donc la totalité du hub qui est bloqué. Tant que l'utilisateur n'accède pas aux messages le téléphone fonctionne.

Windows Phone 7 potentiellement piratable

En revanche, ce problème devient vraiment inquiétant si l'utilisateur a ajouté un contact sur son écran d'accueil. Il suffit que de mettre à jour son profil Facebook avec un message malicieux pour provoquer le plantage immédiat du téléphone, car tout est lié à la messagerie. D'après les tests effectués par WinRumors, le problème reste identique même après un redémarrage du téléphone, puisque le message est toujours en mémoire.

Si des personnes malintentionnées mettaient la main sur le code en question, l'expérience malheureuse de Khaled Salameh pourrait devenir catastrophique pour de nombreux possesseurs de smartphones dotés de Windows Phone 7.

Heureusement, Khaled Salameh a pris garde de ne les divulguer qu'à WinRumors. « Il m'a fallu cinq heures pour comprendre le problème et trouver une solution » souligne-t-il. De son côté WinRumors a transmis directement les informations à Microsoft pour qu'il planche sur un correctif. D'après nos confrères, il n'y a pour le moment aucune façon d'éviter ce genre d'attaque. Il est donc urgent d'attendre une mise à jour de la part de Microsoft.

Nous avons aussi joint deux éditeurs d'antivirus au sujet de cette faille. Les deux ont eu le même refrain : « on se concentre sur Android ». « Windows Phone ne fait pas partie de nos projets car les applications sont limitées en fonction, nous a ainsi expliqué Ondrej Vlcek, directeur général chez Avast. Je ne pense pas qu'une application puisse corriger ce genre de problème. Dans le même temps, sur Android, on serait capable de maîtriser ce type d'attaque... »

Une attaque difficile à maîtriser en l'état, des éditeurs d'antivirus qui préfèrent se concentrer sur d'autres systèmes d'exploitation... Voilà qui n'augure rien de bon pour les possesseurs de Windows Phone.