Une récente enquête de la société de cybersécurité iVerify révèle qu’une grande majorité des smartphones Google Pixel vendus depuis septembre 2017 étaient équipés d’un logiciel potentiellement capable de surveiller ou de prendre le contrôle à distance des appareils des utilisateurs. Cette vulnérabilité, liée à un package logiciel Android caché nommé « Showcase.apk« , a soulevé de sérieuses inquiétudes quant à la sécurité des données des utilisateurs et vient remettre en question la réputation de Google en matière de protection de la vie privée !
Face à cette découverte alarmante, l’entreprise de data-mining Palantir, cliente d’iVerify, a pris la décision radicale d’interdire les appareils Android dans son organisation…
Une application démonstration à l’origine de la faille
Selon le rapport d’iVerify, le logiciel incriminé, développé par Smith Micro Software, semble avoir été créé pour Verizon dans le but de réaliser des démonstrations en magasin. Bien qu’inactive par défaut, l’application Showcase.apk, une fois activée manuellement, rendait le système d’exploitation vulnérable aux pirates et exposait les appareils à des attaques de type « man-in-the-middle« , des injections de code et des logiciels espions.
Dane Stuckey, responsable de la sécurité des informations chez Palantir, a exprimé sa préoccupation : « C’est très préjudiciable pour la confiance, d’avoir un logiciel tiers non sécurisé et non vérifié. Nous n’avons aucune idée de la façon dont il est arrivé là, nous avons donc pris la décision d’interdire effectivement les appareils Android en interne. »
Un risque majeur pour la sécurité des données
Les implications de cette vulnérabilité sont considérables et pourraient entraîner des pertes de données se chiffrant en milliards de dollars, selon le rapport d’iVerify. La présence de ce logiciel compromettant sur une grande partie des smartphones Pixel vendus depuis 2017 donne envie de se poser de sérieuses questions sur la sécurité de l’écosystème Android et la capacité de Google à protéger les données de ses utilisateurs.
Dane Stuckey a souligné l’ampleur du problème : « C’est vraiment très inquiétant. Les Pixel sont censés être propres. Il y a un tas d’applications de défense qui reposent sur les téléphones Pixel. »
Une réponse tardive de Google
iVerify affirme avoir informé Google de cette faille de sécurité début mai. Pourtant, l’entreprise n’a ni divulgué publiquement cette vulnérabilité, ni publié de mise à jour logicielle pour y remédier. Selon le media Wired, Google prévoit de supprimer l’application Showcase.apk de tous les appareils Pixel « dans les semaines à venir« .
Une information confirmée par Ed Fernandez, porte-parole de Google. Dans un communiqué adressé au media The Verge, Fernandez a précisé que le logiciel avait été créé « pour les appareils de démonstration en magasin de Verizon et qu’il n’est plus utilisé« , ajoutant que Google n’a « vu aucune preuve d’une exploitation active » de cette vulnérabilité.
À LIRE AUSSI : La Pixel Watch 3 de Google intègre une fonctionnalité de détection de perte de pouls !
Un coup dur pour la réputation de Google
Cette découverte porte un coup sévère à la réputation de Google en matière de sécurité et de protection de la vie privée. Alors que les smartphones Pixel sont souvent présentés comme une alternative plus sûre aux autres appareils Android, la présence d’un logiciel espion potentiel remet en question cette image.
Il reste à voir comment Google réagira à long terme face à cette crise et quelles mesures seront prises pour regagner la confiance des utilisateurs. Une chose est sûre : cette affaire met en exergue l’importance cruciale de la transparence et de la réactivité des entreprises technologiques face aux failles de sécurité, afin de protéger les données et la vie privée de leurs clients.
