Le Black Phone est un smartphone ultra sécurisé réputé pour être inviolable. Elle est destinée aux gouvernements et aux utilisateurs soucieux de leur vie privée. Elle n’échappe pas à la règle et une grave faille de sécurité a été mise en évidence par une experte en sécurité Australien. Une faille qui aurait pût permettre aux pirates d’exécuter un programme malveillant afin d’accéder à distance aux données des utilisateurs, prenant ainsi un contrôle quasi total sur le terminal sans que l’utilisateur ne s’en aperçoive qu’au dernier moment. Heureusement, cette faille a été corrigée depuis. Dévoilé en 2014 lors du Mobile World Congress à Barcelone, c’est un smartphone avec un design assez sobre et avec une performance que le place dans le milieu de gamme. Fabriqué par la firme SGP Technologies SA, c’est le premier smartphone au monde qui maximise la sécurité de l’utilisateur avec environnement software. Il tourne avec un système Private OS, une version d’Android Kit Kat modifiée pour plus de sécurité, plaçant ainsi la confidentialité des utilisateurs au premier rang. Toutes les communications du terminal, aussi bien audio que vidéo sont donc chiffré à l’aide du VPN avec l’ajout de réglages plus fins et plus poussés qu’Android sur les permissions d’application. Elle bénéficie également d’un système de stockage en ligne sécurisé. Un smartphone parfait pour les espions et les gouvernements ne souhaitant pas être mis en écoute si facilement.
Silent Text serait à l’origine de la faille
La faille du Black Phone a été mise en évidence par un expert en sécurité de la société Azimuth Security, un Australien qui a monté une vulnérabilité au niveau du module de messagerie, permettant de déchiffrer quelques informations présentes sur le terminal et y accéder directement. C’est donc le fameux module Silent Text, le module de messagerie instantanée disponible depuis le portail Google Play qui a été mise en cause. Pour être plus précis, le composant libscimp est tenu responsable, car elle pourrait être débordé par une faiblesse de type corruption mémoire. Par le biais de cette faille, il suffirait donc aux pirates de connaître le numéro de téléphone ou l’identifiant Silent Circle du propriétaire et ensuite exécuter un code malveillant sur le mobile ciblé pour s’octroyer des privilèges élevés et accéder ainsi aux informations du terminal. Il lui serait possible par la suite de lire les messages, voir tous les contacts et la position géographique et même de remplacer certains contenus par d’autres. Heureusement, la faille a été corrigée avant d’être rendue publique dès que l’alerte fut donnée par l’expert en sécurité Australien. Selon les statistiques qui ont été publiées sur le site Bugworld, on dénombre jusqu’à aujourd’hui 25 bugs sur le terminal et 37 pour l’application Silent Circle et ses services.