Cette nouvelle, trouvée chez tonton Korben, va déplaire à quelques personnes, les autres s’en moquent puisqu’ils n’ont rien à cacher.
Les développeurs de chez Replicant viennent de mettre la main sur une backdoor matérielle dans les téléphones Samsung. (lien en anglais)
Pour information, Replicant est un groupe de bidouilleurs / développeurs qui a pour but de faire une distribution d’Android totalement libre.
Dans le détail, cette backdoor est détectée dans la puce Baseband des terminaux de la gamme Galaxy, la puce baseband en question gère la partie modem des téléphones. Dans les terminaux mobiles, il y a un ensemble de composants dont deux puces, l’une permet de gérer le téléphone et les fonctions de ce dernier et l’autre permet de gérer la partie data, connexions, modem & Co. du téléphone, c’est la puce baseband dont-il et question ici.
Généralement, cette puce est totalement vérouillée, propriétaire et il est officiellement impossible de savoir ce qu’elle fait exactement à un instant T. Korben explique que cette puce permet déjà de géolocaliser le téléphone et d’activer l’appareil photo à l’insu de l’utilisateur et ce malgré les autorisations du système installé sur le téléphone.
Pour être plus clair, si vous avez interdit à l’ensemble de vos applications d’accéder à votre GPS où à votre appareil photo, la puce s’en moque et peut le faire en contournant les autorisations du système.
Et c’est donc dans cette puce baseband que Replicant vient de dénicher une backdoor.
Cette découverte devrait nous alerter quant à un problème sans réelles solutions actuellement : les backdoors matérielles et le respect de l’intimité des gens.
S’il est facile de désinstaller ou de verrouiller les autorisations d’une application, il est quasi impossible de faire de même avec le matériel.
Quelle est la portée d’une sécurisation féroce de son système s’il n’est pas possible de faire confiance au matériel installé ? Cela revient à construire une maison très solide… sur des fondations bancales.
La seule solution viable consiste à avoir une puce totalement libre, qui assure aux communautés et aux utilisateurs qu’elle ne fera rien d’étrange sans que cela puisse se savoir.
Malheureusement, ce n’est pas pour aujourd’hui, à moins d’un miracle. Nous commençons à peine à prendre conscience des failles logicielles qui exposent nos vies privées et intimités, alors une faille matérielle…personne ou presque ne se sentira exposé et concerné.