Une nouvelle étude confirme que les écrans de remplacement de téléphones intelligents fissurés achetés par des vendeurs tiers peuvent vous rendre vulnérables aux cyberattaques.

Cette recherche, menée par des chercheurs de l'Université Ben Gourion du Néguev, en Israël, a démontré comment les hackers peuvent utiliser un écran de remplacement pour subtiliser les données provenant des téléphones remis à neuf.
Plus inquiétant pour les utilisateurs, les attaques sur ces dispositifs sont quasi indétectables pour le propriétaire et travaillent via une puce malveillante qui est intégrée au nouvel écran tactile de remplacement.

Cette étude illustre à quel point ce piratage est difficile à repérer, même au moment où l’appareil est attaqué. « La menace d’un périphérique malveillant présent au sein des appareils électroniques des consommateurs préexistants ne doit pas être prise à la légère. Comme le montre cette étude, les attaques perpétrées par des périphériques malveillants sont faisables, flexibles, et invisibles pour la plupart des techniques de détection. »

Après avoir fait le test sur deux appareils Android différents, soit le Huawei Nexus 6P et le LG G Pad 7.0, les chercheurs ont été capables de prendre contrôle des téléphones en utilisant les puces malicieuses intégrées.

Ils ont par la suite montré comment les appareils piratés pouvaient être utilisés pour prendre des photos de l’utilisateur et les envoyer aux cyberattaquants.

Ces découvertes ont été présentées lors de l’édition 2017 de l’Usenix Workshop on Offensive Technologies, tenu à Vancouver, au Canada. L’événement, qui s’est déroulé au milieu du mois d’août, a permis d’illustrer comment les écrans tactiles affectés parvient à enregistré les frappes et les motifs au clavier, en plus d’exploiter les vulnérabilités du système d’exploitation des appareils touchés.

Selon un sondage réalisé en 2015, plus de la moitié des gens ayant un téléphone intelligent ont endommagé leur écran à au moins une reprise, alors que 21% des usagés affirment utiliser présentement un appareil avec un écran fissuré ou brisé.

Les utilisateurs doivent alors choisir entre utiliser un appareil dont l’écran est brisé ou s’adresser à leur vendeur officiel avec leur téléphone endommagé. Ce choix peut s’avérer trop couteux pour plusieurs personnes, qui doivent alors se tourner vers les revendeurs tiers d’écran en ligne, via des sites tels qu’eBay, ou apporter leur téléphone à ces revendeurs non officiels.

Le coût de ces pièces de remplacement peut être aussi minime que 10 €, mais elles peuvent mener à la perte de données de valeurs et d’informations personnelles importantes.

Puisqu’ils savent que de nombreux propriétaires de téléphones intelligents font affaire avec des commerçants tiers pour ces réparations, les chercheurs montrent que les fabricants de téléphones doivent fabriquer des appareils qui prennent en compte cette vulnérabilité. « [U]n adversaire motivé peut être tout à fait apte à créer des attaques à grande échelle ou visant des cibles spécifiques. Les concepteurs de systèmes devraient considérer les composantes de remplacement comme extérieurs aux protections du téléphone, et concevoir leurs défenses en conséquence », concluent les chercheurs.