On a du mal à y croire tellement cela paraît incroyable, et pourtant : un simple code, en l’occurrence *2767*3855#, permet d’effacer les smartphones Samsung à distance. Les explications de Jean-Baptiste Giraud.
[image:1,l]
Quasiment tous les smartphones Samsung sous Android sont concernés, du Galaxy SIII au Galaxy SII en passant par le Galaxy Beam, Galaxy S Advance et Galaxy Ace. L’existence de ce code a été révélé par Silent Services lors d’une conférence sur la sécurité (Ekoparty 2012), mais on en trouve des traces sur la toile dès… 2010 !
Un code USSD
Le drame, c’est que ce code peut-être envoyé aux utilisateurs de smartphones à leur insu via un simple SMS, puisque ce code est un code USSD. Les codes USSD servent à échanger des commandes entre le réseau mobile et le terminal. C’est par exemple un code USSD qui active ou désactive la messagerie vocale à distance, ou encore permet d’obtenir le code d’accès à un hot-spot Wifi.
Un code qui aurait dû rester secret
Pire encore : ce code peut aussi être intégré dans une simple page web, et activé à l’affichage de celle-ci, mais aussi envoyé au smartphone par NFC (fonctionnalité de dialogue sans contact, utilisé pour le paiement), ou encore intégré sournoisement dans un QR Code (code 2D). Ce code, qui devait normalement rester secret, a été ajouté par Samsung à une couche logiciel que le constructeur coréen a intégré à sa version d’Android.
D’abord une bonne idée
Une bonne idée à l’origine : ce code devait permettre aux opérateurs de réinitialiser à distance un téléphone, par exemple en cas de vol. Mais rendu public (plusieurs milliers de messages sur Twitter, indiquant comment s’en servir…), c’est une véritable bombe pour Samsung.
Des précautions à prendre
Samsung devrait prochainement proposer une mise à jour à distance (automatique) du logiciel interne de ses appareils afin de désactiver la fonctionnalité. En attendant, il est plus que recommandé de sauvegarder le contenu et les paramètres de son smartphone Samsung pour pouvoir les restaurer le cas échéant… et de croiser les doigts en surfant ou en ouvrant un SMS d’un inconnu.
La réaction de Samsung
Samsung a commencé à réagir à cette faille de sécurité majeure en annonçant qu’une mise à jour téléchargeable en OTA ( Over The Air ) était disponible pour les Galaxy III. Pour l’instant, Samsung ne parle pas des autres terminaux de la marque concernés.
Par ailleurs, plusieurs sites d’information américains affirment que cette faille existent sur d’autres terminaux, comme les HTC One X et le Sony Xperia, mais cette fois uniquement si leurs utilisateurs surfent sur des pages web dans lequel le code de réinitialisation a été malicieusement caché.
Ci-dessous, la vidéo de démonstration, lors de Ekoparty 2012, de l’effacement d’un smartphone Samsung à l’aide de ce simple code.