Android mascots
© Thomson Reuters
En mars dernier, le chercheur en sécurité Keegan Ryan a découvert qu'une faille qui permet de récupérer les données traitées dans la zone sécurisée QSEE des processeurs Qualcomm. Il a publié sa découverte dans ce document très technique de plus de 30 pages.

Le QSEE est un environnement d'exécution de confiance, isolée matériellement sur les puces Qualcomm. Normalement le système d'exploitation Android ou une application peut placer des données dans cette zone, pour un traitement totalement sécurisé. Seule l'application ou le système d'exploitation peut accéder ensuite à ces données. Android ne peut normalement accéder qu'aux données qu'il a lui-même placées dans le QSEE.

Le QSEE est l'endroit privilégié pour placer des clés de cryptage privées, des mots de passe, ou toutes autres données sensibles. Comme le souligne Keegan Ryan, la QSEE a été conçue pour protéger des données même dans les situations dans lesquelles les attaquants ont un contrôle total sur le périphérique.

Mais en l'occurrence le QSEE échoue dans la fonction principale pour laquelle il a été conçu. Car grâce à cette vulnérabilité des CPU Qualcomm, un attaquant ayant un accès root à l'appareil peut accéder à son contenu entier. Or obtenir un accès root sur un appareil Android n'est pas si difficile. Ce ne sont pas les malwares qui manquent pour cela.

Qualcomm reconnaît le problème et a publié la liste des CPU affectés. Ce sont : IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210 / SD 212 / SD 205, SD 410/12, SD 425, SD 425, SD 427, SD 427, SD 425, SD 435, SD 435, SD 435, SD 435, SD 435. 439 / SD 429, SD 450, SD 615/16 / SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130

Les terminaux Android les plus récents qui embarquent un Snapdragon 855 ne sont pas affectés.

Qualcomm a publié un correctif de sécurité de son micrologiciel. Ce correctif est inclut dans la mise à jour de sécurité d'Android d'avril 2019 par Google. Toute la question est de savoir quand le correctif arrivera sur les terminaux des utilisateurs, s'il arrive un jour...