Le gouvernement américain a ordonné à ses employés de mettre immédiatement à jour leurs téléphones Google Pixel en raison d'une mystérieuse faille de sécurité. Cette vulnérabilité critique, identifiée sous le nom CVE-2024-32896, provient apparemment d'un bug dans le système d'exploitation Android. Bien que Google ait déjà publié un correctif, les détails sur la manière dont cette faille pourrait être exploitée restent flous.
Android Pixel contient une vulnérabilité non spécifiée dans le firmware qui permet une élévation de privilèges, a noté l'avertissement du gouvernement. Appliquez les mesures correctives selon les instructions du fournisseur ou cessez d'utiliser le produit si les mesures correctives ne sont pas disponibles. Cette vulnérabilité est une faille zero-day, ce qui signifie qu'elle a été découverte et pourrait être utilisée par des hackers pour mener des cyberattaques avant que des mesures d'atténuation ne soient mises en place.
Risques et Recommandations
La faille expose les propriétaires de Pixel au risque de voir leur téléphone détourné s'ils ne mettent pas à jour leur appareil avec la dernière version. Le système d'exploitation basé sur Android, GrapheneOS, a averti que la vulnérabilité de sécurité ne se limite pas aux téléphones Pixel, bien que ces derniers soient les premiers à recevoir la mise à jour. Les autres utilisateurs d'Android devraient probablement recevoir une mise à jour en août.
Selon Google, l'exploit a déjà été utilisé dans des attaques ciblées, bien qu'aucun détail n'ait été donné sur les cibles et les méthodes utilisées. Le correctif de sécurité du firmware comprend également des corrections pour 49 autres vulnérabilités liées aux composants matériels et logiciels.
Instructions pour la Mise à Jour
Les téléphones Google Pixel peuvent être mis à jour via l'application Paramètres de l'appareil, les mises à jour logicielles prenant généralement de quelques minutes à une demi-heure, selon l'ancienneté du smartphone. "Nous encourageons tous les clients à accepter ces mises à jour pour leurs appareils", a déclaré Google dans son bulletin de mise à jour Pixel pour juin 2024.
L'Institut national des normes et de la technologie des États-Unis a déclaré que les employés du gouvernement doivent mettre à jour leurs appareils Google Pixel avant le 4 juillet ou cesser d'utiliser les smartphones, tandis que ceux qui ont d'autres téléphones Android devraient patienter pour l'instant. Il n'est jamais sage de négliger ces failles zero-day et l'implication du gouvernement américain a certainement intensifié le niveau de menace dans ce cas.