On évoque régulièrement les failles dans les processeurs et firmwares d’Intel et AMD. Mais l’univers ARM n’est pas en reste, ni plus épargné. Ainsi Qualcomm vient de publier un ensemble de 20 correctifs pour remédier à des vulnérabilités critiques affectant ses chipsets. Et le fabricant presse désormais les fabricants qui utilisent ses processeurs pour qu’ils diffusent le plus rapidement possible les correctifs auprès des utilisateurs finaux. Car une de ces failles de sécurité est largement exploitée par des cybercriminels.
La vulnérabilité CVE-2024-43047, notée 7,8 sur 10 selon le système CVSS, touche le processeur de signal numérique (DSP) de nombreux modèles de puces Qualcomm. Elle inquiète particulièrement Qualcomm et les experts en cybersécurité car elle est déjà exploitée probablement par des acteurs étatiques ou des fournisseurs de logiciels espions. Certains pensent même que l’ineffable « Pegasus » l’emploierait dans ses dernières mises à jour Android. Pour rappel, développé par l’entreprise israélienne NSO Group, Pegasus a notamment été utilisé pour espionner des journalistes, des militants des droits de l’homme et des politiciens à travers le monde.
Signalée conjointement par l’équipe Project Zero de Google et le laboratoire de sécurité d’Amnesty International, cette faille pourrait cibler des individus vulnérables tels que des journalistes ou des dissidents. Les modèles concernés incluent presque tous les processeurs Snapdragon récents y compris les Snapdragon 6, Snapdragon 7, Snapdragon 8, Snapdragon XR2, ainsi que les modems 5G et les composants Wi-Fi/Bluetooth FastConnect 6700, 6800, 6900, et 7800. On notera que les Snapdragon X des Copilot+ PC ne semblent pas concernés.
Des failles majeures
Outre la faille CVE-2024-43047, Qualcomm a également publié des correctifs pour 19 autres failles de sécurité, dont certaines très critiques. Parmi elles, CVE-2024-33066, notée 9,8, concerne une validation d’entrée incorrecte dans le gestionnaire de ressources WLAN, pouvant mener à une corruption de mémoire. Heureusement, cette faille n’a pas encore été exploitée, selon les informations disponibles.
Par ailleurs, deux autres vulnérabilités critiques ont été identifiées : CVE-2024-23369 et CVE-2024-33065, impliquant toutes deux des corruptions de mémoire, affectant respectivement le système d’exploitation et le pilote de la caméra. Les correctifs pour ces failles sont désormais disponibles.
Qualcomm met la pression
Qualcomm insiste sur l’urgence d’appliquer ces correctifs, fait pression sur les fabricants responsables de leurs déploiements sur leurs apparails et exhorte les utilisateurs à vérifier régulièrement les mises à jour disponibles sur leurs smartphones, tablettes, casques VR et autres dispositifs. Certaines failles avaient été détectées il y a près d’un an, mais n’ont été corrigées que maintenant, ce qui renforce l’urgence d’une mise à jour généralisée.
Les failles exploitables dans les DSP et les composants WLAN représentent une menace directe pour la sécurité des utilisateurs de smartphones, exposant potentiellement leurs données personnelles et leurs communications à des attaques ciblées. Maintenant qu’elles ont été dévoilées et que les correctifs sont accessibles, les cyberattaquants vont se ruer à pratiquer du reverse engineering pour rapidement trouver comment les exploiter avant que les fabricants ne patchent leurs appareils.
Un rappel à la vigilance sur mobile et un nouveau test grandeur nature pour déterminer quels sont les fabricants de smartphones et tablettes qui prennent le plus à cœur la cybersécurité de leurs utilisateurs. La course au déploiement des patchs est lancée… Qui réagira le plus vite ?