Sécurité Mobile · 4 min read · Oct 24, 2025

Vulnérabilité zero day du ROM CyanogenMod à l'attaque Man-in-the-Middle

Table des matières

  • Le ROM tiers populaire d’Android, CyanogenMod, susceptible à l’attaque Man-in-the-Middle (MitM)
  • ROM CyanogenMod
  • Attaque Man-in-the-Middle
  • L’informateur anonyme
  • La faille
  • Conclusion

Le ROM tiers populaire d’Android, CyanogenMod, susceptible à l’attaque Man-in-the-Middle (MitM)

Le ROM tiers populaire d’Android appelé CyanogenMod ROM est susceptible à une attaque Man-in-the-Middle (MitM). Cette vulnérabilité peut exposer environ 10 millions d’utilisateurs du ROM CyanogenMod à des attaques Man-in-the-Middle (MitM). La vulnérabilité MitM peut signifier qu’un utilisateur Android utilisant le ROM CyanogenMod peut être ciblé depuis n’importe quel navigateur installé sur le smartphone/tablette Android.

Cette vulnérabilité zero day est présente dans le ROM Android le plus populaire grâce à la réutilisation de code d’exemple vulnérable par l’équipe CyanogenMod sur diverses versions.

ROM CyanogenMod

Le ROM CyanogenMod est un système d’exploitation open source pour smartphones et tablettes Android. La plupart des utilisateurs qui ne sont pas satisfaits du système d’exploitation Google Android d’origine ou qui souhaitent faire des manipulations techniques avec leurs smartphones utilisent le ROM CyanogenMod ou d’autres ROMs. Il permet un accès root aux utilisateurs Android, autrement refusé par le système d’exploitation propriétaire de Google. Cela permet aux utilisateurs de modifier et de manipuler le smartphone pour qu’il se comporte exactement comme l’utilisateur le souhaite. C’est l’un des ROMs les plus populaires car il est gratuit, open source et mis à jour régulièrement par son équipe dirigée par Steve Kondik, avec de nombreux forums dédiés à la recherche de bugs et d’astuces dans le système d’exploitation.

Attaque Man-in-the-Middle

L’attaque Man-in-the-Middle, communément appelée attaque MitM, se produit lorsque le hacker parvient à écouter la victime par l’exécution arbitraire de certificats. Dans une MitM, le hacker établit des connexions indépendantes avec les victimes et relaie les messages entre elles, leur faisant croire qu’elles parlent directement l’une à l’autre sur une connexion privée, alors qu’en réalité, toute la conversation est contrôlée, surveillée et notée par le hacker. Un exemple simple est un utilisateur ouvrant un site bancaire et communiquant avec le serveur bancaire. Normalement, le SOP n’autorise aucun tiers à espionner cette communication, mais dans le cas d’une attaque MitM, un hacker peut accéder à cette communication particulière en utilisant des points d’entrée valides sans la connaissance de l’utilisateur.

Pour qu’une MitM réussisse, les deux parties communicantes, c’est-à-dire votre PC et le site bancaire, doivent être satisfaites de l’authenticité mutuelle. Cela se fait par le biais de certificats que votre machine et les serveurs bancaires communiquent et vérifient. Une approbation de certification fausse par le site web peut ouvrir la porte aux attaques MitM.

L’informateur anonyme

Un chercheur en sécurité qui souhaite rester anonyme et travaille pour un fournisseur de smartphones de premier plan a informé le bureau australien de The Register, également connu sous le nom de Vulture South, de cette vulnérabilité zero day.

Il a déclaré que la vulnérabilité découle du fait que les développeurs de Cyanogenmod avaient pris le code d’exemple d’Oracle pour Java 1.5 pour analyser les certificats afin d’obtenir des noms d’hôtes et l’avaient implémenté dans toutes les versions ultérieures des ROMs CyanogenMod et Nightlys. Le problème était que ces certificats étaient vulnérables à un ancien bug et avaient été corrigés par Oracle. Cependant, l’équipe des développeurs de CyanogenMod a continué à utiliser les anciens certificats non corrigés.

“Je regardais le code du composant HTTP et je pensais avoir déjà vu ce code auparavant,” a déclaré le chercheur, ajoutant “Ils ont juste copié-collé le code d’exemple et c’est ce qui était vulnérable.”

Le chercheur a ensuite vérifié le dépôt Git en ligne, Github, pour ne trouver que de nombreux autres utilisant les mêmes certificats non corrigés.

La faille

La faille qui a été découverte en 2012 concerne les vulnérabilités SSL dans les bibliothèques et avait créé beaucoup de remous parmi les utilisateurs de Java à l’époque. Elle a été de nouveau étudiée en février de cette année. La faille permettait aux attaquants d’utiliser n’importe quel nom d’hôte qu’ils souhaitaient sur les certificats SSL et de le faire accepter par de grands organismes de certification, ouvrant la voie à des attaques MitM à grande échelle sur les utilisateurs de certificats.

“Si vous allez créer un certificat SSL pour un domaine que vous possédez, disons evil.com et dans un élément de la demande de signature de certificat tel que le champ ‘nom de l’organisation’, vous mettez la ‘valeur,cn=nom de domaine, il sera accepté comme le nom de domaine valide pour le certificat”

Ainsi, la faille a été transmise à chaque version de CyanogenMod publiée par les développeurs sans aucune attention aux bibliothèques non corrigées.

Conclusion

Le chercheur a apparemment été repoussé par l’équipe de CyanogenMod lorsqu’il les a approchés avec le PoC pour cette vulnérabilité et après avoir été repoussé, il en a parlé lors de l’événement de sécurité zero-day à Ruxcon à Melbourne.

Share: X/Twitter LinkedIn
#Sécurité Mobile

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.