Une image DNG suffisait pour infiltrer votre Galaxy
Pendant près d’un an, plusieurs modèles phares de Samsung ont été la cible d’une attaque redoutable nommée LANDFALL. Découverte par les spécialistes de la sécurité de Palo Alto Networks (Unit 42), cette faille exploitait la prise en charge des images RAW (format DNG) sur les appareils Galaxy, permettant l’exécution de code malveillant sans qu’aucune action de l’utilisateur ne soit nécessaire.
Comment l’exploit s’exécutait en toute discrétion
La vulnérabilité, identifiée sous le code CVE-2024-3661, reposait sur un défaut dans la bibliothèque de traitement des fichiers DNG intégrée à One UI. Son mode opératoire était simple et effrayant :
- Un fichier DNG trafiqué était envoyé (via WhatsApp ou n’importe quelle messagerie supportant ce format).
- À la réception, le téléphone tentait de traiter cette image RAW automatiquement.
- L’erreur dans le parsing du DNG déclenchait un buffer overflow, lançant un code malveillant en arrière-plan.
- Le malware recueillait photos, contacts, journaux d’appels, enregistrements audio et positions GPS, puis les exfiltrait vers un serveur distant.
Grâce à cette « exécution sans clic », l’attaque pouvait rester active plusieurs mois, à l’insu de l’utilisateur.
Appareils et versions concernées
Unit 42 a dressé la liste des Galaxy touchés :
- Série Galaxy S22 (S22, S22+ et S22 Ultra) sous One UI 5 (Android 13).
- Série Galaxy S23 (S23, S23+ et S23 Ultra) sous One UI 6 (Android 14).
- Série Galaxy S24 (S24, S24+ et S24 Ultra) sous One UI 7 (Android 15).
- Galaxy Z Fold4 et Z Flip4, également basés sur One UI 5/6/7.
La mise à jour de sécurité publiée en avril 2025 corrigeait la faille. Aucun cas d’exploitation active n’a été recensé après cette date, preuve de l’efficacité du patch.
Chronologie et découverte de la faille
La vulnérabilité a été identifiée de manière fortuite lors d’un audit interne de sécurité chez Palo Alto Networks. Les experts ont remarqué un comportement anormal lors de l’affichage de certaines images RAW, ce qui les a conduits à isoler le bogue dans la bibliothèque d’images de Samsung. Après des tests approfondis, ils ont confirmé que n’importe quelle application capable de gérer un DNG—WhatsApp, Gmail, Telegram, etc.—pouvait devenir un vecteur d’attaque.
Samsung a été informé fin mars 2025 et a rapidement intégré la correction dans son patch mensuel d’avril, démontrant sa réactivité face aux menaces critiques.
Impacts sur la confidentialité et la vie privée
Au-delà du simple vol de données, LANDFALL posait un risque majeur pour la vie privée :
- Accès aux photos personnelles et aux contenus multimédias.
- Récupération des coordonnées et détails des contacts enregistrés.
- Consultation du journal d’appels et des messages enregistrés.
- Enregistrement à distance du microphone pour écouter l’environnement.
- Suivi de la position GPS en temps réel.
L’absence de notification ou de signe visible rendait l’attaque d’autant plus dangereuse pour les utilisateurs non avertis.
Mesures pour se protéger dès maintenant
Pour éviter toute exploitation de LANDFALL, chaque propriétaire de Galaxy S22, S23, S24, Z Fold4 ou Z Flip4 doit :
- Installer impérativement la mise à jour de sécurité d’avril 2025 ou une publication ultérieure via Paramètres > Mise à jour logicielle.
- Vérifier le niveau de One UI et du patch Android dans Paramètres > À propos du téléphone > Informations sur le logiciel.
- Désactiver le téléchargement automatique des médias dans WhatsApp, Gmail et autres applis de messagerie.
- Supprimer de votre galerie ou de vos conversations tout fichier DNG suspect provenant de contacts inconnus ou non fiables.
Ces précautions garantissent que votre smartphone ne sera plus exploitable via la faille LANDFALL.
Les enseignements à retenir
LANDFALL illustre l’importance cruciale des correctifs de sécurité et des mises à jour logicielles. Même les géants comme Samsung peuvent laisser passer des vulnérabilités critiques dans des composants pourtant essentiels. Cela rappelle :
- La nécessité d’un suivi régulier des mises à jour de sécurité.
- La vigilance quant aux fichiers reçus, même sous un format supposé anodin.
- L’intérêt d’outils d’analyse de sécurité performants pour détecter les comportements suspects.
En restant informé et en appliquant ces bonnes pratiques, vous préservez la confidentialité de vos données et la sécurité de vos appareils.