BlackPhone : Le smartphone hyper-sécurisé rooté en moins de 5 minutes
Le blackphone, le smartphone dont le but est de fournir une sécurité haut-de-gamme à des consommateurs “lambdas” a été rooté avec une facilité déconcertante pendant la conférence Black Hat.
BlackPhone est un smartphone conçu par Silent Circle et Geeksphone, dont le but est de fournir une collection de services sécurisés tournant sur une variante d'Android. Appelée PrivatOS, celle-ci est pensée pour fournir un accès pour des consommateurs à des options sécurisées protégeant les données personnelles contre des vols par des hackers ou des gouvernements.
L'avènement de produits tels que le BlackPhone s'est fait autour des revelations de'Edward Snowden. Il y a eu à ce moment un public très réceptif quant à la portée d'un tel smartphone. Bien sur, le BlackPhone n'a pas été vendu comme “Anti-NSA”, mais c'est très vite devenu la manière que tout le monde a eu de le présenter. En face, le leader du segment sécurité des smartphones est évidemment Blackberry, une société qui s'est beaucoup vantée d'être LA solution sécurisée pour les entreprises et pour les usagers des gouvernements.
C'est donc très naturellement que BlackPhone et Blackberry se sont livrés à une guerre de la communication quant à le supériorité que chacun avait sur l'autre. Inutile aujourd'hui de revenir sur les attaques envoyées réciproquement puisqu'aujourd'hui c'est un affront suprême qu'à reçu BlackPhone. C'est en effet @TeamANDIRC qui été à même de rooter le smartphone “inviolable” en moins de 5 minutes à la conférence de sécurité Black Hat, lors de laquelle avait par ailleurs été découverte la faille touchant 2 milliards de smartphones.
D'ors et déjà, une des failles qui a permis ce root a été réparée par BlackPhone, et il semblerait que le seul autre passage exploitable ne soit possible qu'avec la permission de l'utilisateur. Cela n'a bien sûr pas empêché les moqueries de se diffuser sur la toile, notamment dues au fait que la faille semblait grossière.
A simple run of CTS or a proper audit would have prevented the black phone hack
— Justin Case (@TeamAndIRC) 10 Août 2014
Rappelons tout de même que les services de sécurité de du BlackPhone ne reposent pas exclusivement sur PrivatOS mais aussi sur un ensemble d'applications de sécurité fournies avec l'appareil. Malgré tout, cela donne un goût amère lorsque l'OS sur lequel ses applications fonctionnent peut-être maitrisé aussi facilement.
Et pour remettre de l'équilibre dans le combat, l'équipe ayant réussi ce root a annoncé que sa prochaine cible était Blackberry.