En étant la ROM Custom basée sur Android la plus populaire, CyanogenMod pourrait potentiellement devenir une cible importante pour les hackers si une faille de sécurité était découverte. Malheureusement, il semblerait que ce soit justement le cas, comme nous le rapporte aujourd’hui The Register.
C’est en étudiant le cœur du système de CyanogenMod qu’un expert en sécurité qui a souhaité rester anonyme s’est alors aperçu que la ROM utilisait un copier-coller d’un ancien code Java 1.5, depuis corrigé par Oracle mais jamais mis à jour au sein de la ROM Custom. Code qui est justement utilisé pour la validation des certificats SSL. Une négligence susceptible de créer une vulnérabilité de type Man in the middle (MITM).
Appelée parfois MITM ou MIM, une faille de type Man in the middle, connue en français sous le nom de « Attaque de l’homme du milieu » peut, conformément à sa définition, permettre au hacker de « lire ou de modifier à volonté les messages entre deux parties qui communiquent l’une avec l’autre », tout en continuant de faire croire au système que la sécurité n’a pas été contournée.
Dans le cas de CyanogenMod, la faille permet de créer un certificat SSL pour un nom de domaine et un élément de signature puis de faire accepter ce nom de domaine comme valide, quel qu’il soit. Une faille potentiellement dangereuse car si celle-ci devait être exploitée, elle pourrait compromettre la vie privée des 10 millions d’utilisateurs de la ROM Custom.
A noter que bien que le chercheur ait souhaité rester anonyme, il a néanmoins informé l’équipe de CyanogenMod de l’existence de cette vulnérabilité. On imagine que ces derniers feront le nécessaire aussi rapidement que possible pour corriger le problème.
Enfin, sachez que CyanogenMod 11 M11 est désormais disponible au téléchargement avec une longue liste de nouveautés à la clé.