Le gouvernement américain a lancé un sévère avertissement aux employés possédant des téléphones Pixel, exigeant une mise à jour de sécurité d’ici le 4 juillet, comme l’avait initialement rapporté Forbes. Cela est dû à une vulnérabilité très grave du micrologiciel au sein du système d’exploitation Android qui pourrait ouvrir les appareils à une « exploitation limitée et ciblée ».
Il existe déjà un correctif pour l’exploit zero-day, mais il nécessite une visite dans l’application des paramètres pour s’assurer que l’appareil est à jour. Les employés du gouvernement qui n’installent pas la mise à jour de sécurité avant le 4 juillet doivent « cesser d’utiliser le produit ». Il va sans dire que le reste d’entre nous devrait également tenir compte de ces avertissements, en particulier ceux qui se connectent aux serveurs d’entreprise.
Google est resté silencieux quant aux détails réels de la vulnérabilité, mais l’implication du gouvernement la fait paraître un peu plus grave que votre exploit moyen. Le mandat fédéral s’adresse exclusivement aux appareils Pixel, mais il semble que l’exploit pourrait s’étendre à d’autres téléphones Android.
Les responsables de GrapheneOS, un système d’exploitation basé sur Android, notent que la vulnérabilité n’est pas exclusive aux téléphones Pixel. L’organisation affirme qu’un correctif fera partie de toute mise à jour d’Android 15, qui sortira en août, mais qu’il n’a pas été rétroporté. Ainsi, si vous choisissez de ne pas mettre à jour le système d’exploitation, vous n’obtiendrez probablement pas le correctif. On ne sait toujours pas s’il existe d’autres options d’atténuation. Nous avons contacté Google et mettrons à jour cet article lorsque nous en saurons plus.
CVE-2024-32896, qui est marqué comme étant activement exploité dans la nature dans le bulletin de mise à jour Pixel de juin 2024, est la deuxième partie du correctif pour la vulnérabilité CVE-2024-29748 que nous avons décrit ici :https://t.co/c4xnnbje04.
Comme nous l’avons expliqué, rien de tout cela n’est réellement spécifique au Pixel.
– GraphèneOS (@GrapheneOS) 13 juin 2024
L’avertissement émis par le gouvernement américain, tel que décrit dans le catalogue Known Exploited Vulnerabilities (KEV), est également avare de détails. L’avis indique simplement que « Android Pixel contient une vulnérabilité non spécifiée dans le micrologiciel qui permet une élévation de privilèges ». GrapheneOS affirme que l’exploit ne parvient pas à effacer la mémoire lors de l’exécution d’un mode de démarrage rapide basé sur un micrologiciel, ce qui permet potentiellement à des acteurs malveillants d’exploiter le système « pour obtenir la mémoire précédente du système d’exploitation ».
Pour récapituler, mettez à jour votre Pixel Phone immédiatement via l’application des paramètres, tandis que ceux équipés d’autres téléphones Android devraient rester en place pour le moment. Il n’est jamais judicieux de s’attaquer à ces exploits du jour zéro et l’implication du gouvernement américain a certainement un peu accru le niveau de menace ici.