La société israélienne de cybersécurité Check Point a déclaré avoir découvert une grave faille de sécurité dans le logiciel Amazon qui laissait une porte ouverte aux mauvais acteurs pour prendre le contrôle de l’appareil d’une victime et voler des informations sensibles.
Des failles de sécurité dans le Kindle d’Amazon, le lecteur électronique de l’entreprise, auraient permis à des pirates de pénétrer dans l’appareil d’un utilisateur en lui envoyant un e-book malveillant, a déclaré Check Point vendredi.
Check Point a déclaré avoir révélé la vulnérabilité à Amazon en février et que la société avait depuis comblé la faille de sécurité dans une mise à jour du micrologiciel en avril. Le micrologiciel s’installe automatiquement sur les appareils connectés à Internet.
Le Kindle est la liseuse la plus populaire au monde, avec des dizaines de millions d’exemplaires vendus depuis le lancement de l’appareil en 2007.
Avant la mise à jour du micrologiciel, les pirates auraient pu inciter les victimes à ouvrir un seul livre électronique malveillant pour prendre le contrôle total de l’un des appareils.
Une fois que la victime a reçu le livre électronique et l’a ouvert, le pirate aurait alors pu procéder à l’attaque via une chaîne d’exploitation, c’est-à-dire un moyen de combiner une série de vulnérabilités de sécurité pour prendre le contrôle d’un appareil. La victime n’aurait pas à prendre d’autres mesures, ni à avoir d’autres indications, pour devenir la proie de l’attaque.
Une fois que les pirates ont pris le contrôle de l’appareil, ils ont pu accéder à des informations utilisateur sensibles, telles que les informations d’identification du compte Amazon ou les informations de facturation. Le Kindle aurait également pu être déployé en tant que bot malveillant pour attaquer d’autres appareils du réseau local de l’utilisateur.
La faille de sécurité était particulièrement dangereuse car elle aurait pu permettre à de mauvais acteurs de cibler un groupe démographique spécifique, a déclaré Check Point. Par exemple, si les attaquants voulaient attaquer un certain groupe de population, ils auraient pu déployer un livre électronique populaire et malveillant dans la langue ou le dialecte du groupe.
« Si un acteur menaçant voulait cibler des citoyens roumains, il lui suffirait de publier un livre électronique gratuit et populaire en roumain. À partir de là, l’auteur de la menace pourrait être à peu près certain que toutes ses victimes seraient effectivement roumaines », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point. « Ce degré de spécificité dans les capacités d’attaque offensive est très recherché dans le monde de la cybercriminalité et du cyberespionnage. »
Les Kindles et autres appareils de l’Internet des objets (IoT) sont souvent ignorés en tant que risques de sécurité, a déclaré Balmas dans un communiqué.
« Nos recherches démontrent que tout appareil électronique, en fin de compte, est une forme d’ordinateur. Et en tant que tels, ces appareils IoT sont vulnérables aux mêmes attaques que les ordinateurs. Tout le monde devrait être conscient des cyber-risques liés à l’utilisation de tout ce qui est connecté à l’ordinateur, en particulier quelque chose d’aussi omniprésent que le Kindle d’Amazon », a-t-il déclaré.
Il n’était pas clair si des pirates avaient exploité cette vulnérabilité particulière avant qu’elle ne soit corrigée.
Check Point, un fabricant de pare-feux de cybersécurité, est l’une des principales sociétés de cybersécurité d’Israël. Il se négocie sur le Nasdaq sous le symbole CHKP à une capitalisation boursière de 16,5 milliards de dollars.
La société a déclaré le mois dernier que son chiffre d’affaires pour le trimestre précédent était de 526 millions de dollars, dépassant les attentes. Il a également signalé une augmentation des attaques de ransomwares au cours de l’année écoulée.
En juin, Check Point a déclaré avoir découvert quatre vulnérabilités dans la suite logicielle Microsoft Office, notamment Excel et Office.