Samsung est actuellement confronté à plusieurs problèmes de sécurité : d’une part, un groupe de cyber-intrus annonce avoir volé de grandes quantités de code source chez Samsung et publie le fonds de données. D’autre part, un groupe de chercheurs a examiné l’environnement d’exécution de confiance de certains smartphones Samsung actuels et a découvert des erreurs fondamentales dans la cryptographie.
Sommaire
Fuite de données source
Les cambrioleurs qui sont partis en reconnaissance chez Samsung ont déjà été sous les feux de la rampe la semaine dernière : le groupe nommé Lapsus avait volé et publié des certificats de signature de code chez Nvidia, que les cybercriminels ont immédiatement utilisés pour signer des logiciels malveillants. Le vol de données actuel comprendrait environ 190 Go de code source de Samsung, dont celui des Trusted Apps dans le Trusted Execution Environment, et serait diffusé via un réseau peer-to-peer.
Selon Lapsus, des sources de modules DRM ainsi que des keymaster/gatekeeper se trouvent toujours dans le stock de données. Les algorithmes de déverrouillage biométriques et les accès aux capteurs, les sources du chargeur d’amorçage de tous les appareils Samsung actuels, y compris les données Knox et le code d’authentification, diverses autres données ainsi que des codes sources confidentiels de Qualcomm seraient également contenus dans le fonds.
Le code des services en ligne de Samsung est également présent, notamment celui du serveur d’activation contacté lors de la première installation des smartphones. Mais le paquet de données contient également les sources de la gestion des comptes.
Cryptographie défectueuse
Les smartphones Android basés sur ARM utilisent le support matériel TrustZone pour mettre en œuvre des fonctions de sécurité dans un Trusted Execution Environment (TEE). Ce TEE fonctionne de manière isolée et séparée avec son propre système d’exploitation TrustZone (TZOS) parallèlement à Android. L’implémentation de fonctions cryptographiques au sein du TZOS est laissée à l’appréciation des fabricants, expliquent les auteurs de l’analyse Eyal Ronen, Alon Shakevsky et Avishai Wool.
Le problème résidait ici dans la mise en œuvre de la mémoire de clé dans la TEE sur les smartphones Samsung S8, S9, S10, S20 et S21. Samsung utilise le cryptage AES-GCM pour crypter les blocs de données à protéger qui se trouvent dans le système de fichiers accessible à tous. Samsung a utilisé des noms d’applications, des données d’applications et des chaînes de caractères statiques comme composants.
Les chercheurs écrivent que cela permet de crypter chaque données-blob d’une app avec la même clé. Pour le décryptage et le cryptage, il était en outre possible d’ajouter un vecteur d’initialisation propre, de sorte que les pirates pouvaient finalement lire des données sensibles telles que les clés à l’aide d’une application malveillante. Dans un exemple, les chercheurs en sécurité ont pu obtenir des données de connexion FIDO2 considérées comme sûres et s’en servir pour se connecter. Une autre faille a permis aux chercheurs de forcer l’utilisation de l’ancienne version non sécurisée sur les smartphones Samsung récents avec les erreurs ci-dessus.
Samsung a déjà corrigé les failles de sécurité l’année dernière sur les appareils concernés qui étaient encore pris en charge. Il est possible que des attaquants puissent trouver d’autres problèmes de sécurité à travers les fuites de code source, que Samsung devra alors corriger très rapidement pour protéger sa large base d’utilisateurs.
Lire aussi
[Update] 07.03.2022 12:45 heures. Le dernier paragraphe explique plus précisément quels sont les appareils qui ont reçu des mises à jour.