Si Samsung est intimement associé à Android, le géant coréen pousse également son propre système d’exploitation, bien moins connu : Tizen. Et justement c’est pour cet OS qu’il a été durement épinglé à l’occasion de la conférence Kaspersky Security Analyst Summit 2017.
Après avoir passé à la loupe le système d’exploitation Tizen du fournisseur, le chercheur en sécurité Amihai Neiderman a expliqué avoir trouvé pas moins de 40 failles de sécurité, toutes d’un niveau critique et permettant de prendre le contrôle à distance des appareils concernés.
En particulier, le chercheur a réussi à infecter sa propre TV connectée Samsung au travers d’une faille dans le TizenStore. Cette boutique applicative dispose des privilèges administrateurs pour installer des logiciels sur les appareils Tizen. En passant par cette plate-forme vulnérable, un attaquant peut donc « mettre à jour un système Tizen avec n’importe quel code malveillant », explique le chercheur à Motherboard.
Codé avec les pieds
L’expert estime par ailleurs que le code de Tizen « est probablement le pire [qu’il n’ait] jamais vu ». « Tout ce que l’on peut faire de travers, ils l’ont fait. Il est visible que ce code n’a pas été écrit ni audité par quelqu’un ayant des connaissances en sécurité. C’est comme prendre un étudiant et lui laisser développer votre logiciel », souligne Amihai Neiderman.
Un exemple frappant est la fonction « strcpy() », qui permet de répliquer des données en mémoire. Malheureusement, elle ne vérifie pas s’il y a assez de place pour écrire ces données, ce qui provoque un dépassement de la mémoire tampon. Selon Amihai Neiderman, aucun développeur n’utilise cette fonction de nos jours… sauf ceux de Tizen.
Le chercheur a contacté Samsung il y a plusieurs mois, mais n’a reçu que des réponses automatiques. Après la publication de l’article de Motherboard, la société coréenne s’est réveillée, expliquant qu’il est prêt à travailler avec M. Neiderman, notamment au travers du SmartTV Bug Bounty Program.
Tizen est déployé aujourd’hui principalement sur des montres et des téléviseurs connectés, ainsi que sur certains téléphones vendus dans des pays en voie de développement. Compte tenu de la qualité du code de Tizen, il est peu probable qu’il deviendra un jour une alternative crédible à Android.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
