Si vous possédez un Google Pixel 6, un Google Pixel 7, un Samsung Galaxy S22 ou un Samsung Galaxy A53, alors votre smartphone fait partie de ceux qui sont concernés par une importante faille de sécurité. Cette dernière prend sa source au sein de modems Exynos développés par Samsung, qui équipent les terminaux évoqués.

C’est l’équipe Project Zero de Google, qui travaille sur la recherche de vulnérabilités sur les terminaux mobiles, qui a mis le doigt sur ce souci de grande ampleur. Les ingénieurs ont détecté pas moins de 18 vulnérabilités de type zero day sur les modems Exynos produits par Samsung Semiconductors.

Des failles de sécurité importantes dans les smartphones Galaxy et Pixel

Repérées et signalées par Google entre fin 2022 et début 2023, certaines de ces vulnérabilités permettraient notamment à des pirates d’exécuter du code à distance. Quatre failles apparaissent comme particulièrement critiques : « Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur, et exigent seulement que l’attaquant connaisse le numéro de téléphone de la victime », explique le communiqué daté du 16 mars.

« Avec une recherche et un développement supplémentaires limités, nous pensons que des attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils concernés en silence et à distance », estiment les chercheurs en sécurité.

Les 14 autres failles sont moins dangereuses, car elles impliquent « soit un opérateur de réseau mobile malveillant, soit que l’attaquant dispose d’un accès local à l’appareil ».

Quels sont tous les smartphones concernés ?

Google précise que la mise à jour de mars appliquée aux Google Pixel devrait corriger les différents problèmes sur ses terminaux. Cependant, comme le souligne 9to5Google, la mise à niveau n’est actuellement pas disponible sur les smartphones de la gamme Pixel 6.

D’autres marques sont concernées et pour le moment, les failles persistent, y compris chez Samsung qui n’a pas l’air très pressé de les corriger. Voici les terminaux concernés :

• Smartphones de Samsung, y compris ceux des séries Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04
• Smartphones de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30
• Tous les appareils portables qui utilisent le chipset Exynos W920
• Tous les véhicules qui utilisent le chipset Exynos Auto T5123

On note que les Samsung Galaxy S23 sont épargnés puisqu’ils utilisent un SoC Qualcomm. Pour les Galaxy S22, ce sont surtout les modèles vendus en Europe qui sont vulnérables, puisqu’ils sont dotés d’un SoC Exynos.

Que faire en attendant une mise à jour ?

L’équipe de Project Zero recommande aux possesseurs d’un smartphone concerné par ces différentes vulnérabilités de « désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil ». Une démarche simple à réaliser, qui permet de supprimer totalement le risque d’exploitation des failles sur le terminal en question.

On peut, par ailleurs, espérer que maintenant que Google a levé publiquement le voile sur le problème, les marques comme Samsung vont réagir rapidement pour corriger les failles, en particulier les plus dangereuses.