Un éditeur de solutions de sécurité a découvert que des failles critiques, découvertes il y a plusieurs années, n'avaient pas été corrigées dans certaines applications. Pointés du doigt, Facebook mais aussi Google puisque ce n'est uniquement que sous Android.
au sommaire
Que se passe-t-il lorsque des experts en solutions de sécurité (antivirus, pare-feupare-feu...) découvrent une vulnérabilité dans une applicationapplication ou un logiciel ? Ils alertent le plus grand nombre pour que les utilisateurs soient au courant, mais aussi l'éditeur du logiciel en question pour qu'il corrige le ou les failles découvertes.
Sauf que parfois, aucun correctif n'est apporté et la faille reste... C'est ce qu'ont découvert des spécialistes de Check Point, et le plus inquiétant, c'est que cela concerne des applications installées sur des centaines de millions de smartphones. Plus exactement sur des téléphones sous AndroidAndroid. Ils ont ainsi découvert que 19 applications, dont FacebookFacebook, Messenger et InstagramInstagram, présentes sur le Google Play contenaient toujours des bouts de code vérolés, et l'éditeur met en cause le laxisme des développeurs qui ont préféré reprendre du code contenant des failles plutôt que de le corriger.
Des projets open source accessibles à tous les éditeurs
L'explication est simple : une application mobile utilise généralement des dizaines de composants réutilisables, écrits dans un langage accessible au plus grand nombre tel que le langage C. Ces composants, appelés bibliothèques natives, sont souvent dérivés de projets open source ou alors ils intègrent des fragments de code issus de projets open source. Lorsqu'une vulnérabilité est trouvée et corrigée dans un projet open source, ses responsables n'ont généralement aucun contrôle sur les bibliothèques natives susceptibles d'être affectées par la vulnérabilité, ni sur les applications utilisant ces bibliothèques natives. Voilà pourquoi une application peut continuer à utiliser la version obsolète du code, même des années après la découverte de la vulnérabilité.
En l'occurrence, les failles qui touchent ces 19 applications datent pour certaines de 2014 ou 2015, et elles pourraient permettre à un pirate d'exécuter du code à distance ! Du côté de GoogleGoogle, on prend ce problème très au sérieux puisque Check Point n'a vérifié qu'un échantillon d'applications, et il se peut que beaucoup d'autres soient touchées. Quant à Facebook, il affirme que le code, même présent, n'est pas exécuté dans l'application et il ne peut donc être accessible aux pirates.
Découvrez les comparatifs et guides d'achats Smartphones
Retrouvez tous nos articles sur la rubrique guides d'achat smartphone :
- Meilleurs Smartphones 2024 - Test et Comparatif
- Meilleurs Smartphones 5G 2024 - Test et Comparatif
- Meilleurs Smartphones Apple 2024 - Test et Comparatif
- Les meilleurs smartphones à moins de 800 € : lequel choisir en 2024 ?
- Les top smartphones haut de gamme à moins de 700 €
- Les meilleurs smartphones à moins de 600 € : lequel choisir en 2024 ?