Le constructeur sud-coréen a mis à jour ses terminaux Galaxy fragilisés par une faille dans une bibliothèque d’analyse d’images pour Android. Déjà exploitée, elle entraîne une exécution de code à distance.
Alerte sur les plusieurs smartphones Galaxy de Samsung. En effet, la société a mis à jour ses terminaux après la découverte d’une vulnérabilité exploitée. Elle réside dans une bibliothèque d’analyse d’images « libimagecodec,quram.so » fournie par Quramsoft. Les attaquants peuvent à distance exécuter du code arbitraire via des fichiers image spécialement conçus. « Les exploits zero-day ciblant les applications populaires et les bibliothèques OEM témoignent de la vitesse à laquelle les attaquants ciblent les terminaux mobiles comme moyen d’accès », a déclaré Brian Thornton, ingénieur commercial senior chez Zimperium. « Les équipes de sécurité doivent s’assurer que les employés mettent immédiatement à jour leur smartphone Samsung et renforcent leurs plans de défense mobile. »
Même si Samsung n’a pas précisé l’impact que ce bug pourrait avoir sur les environnements d’entreprise protégés par Knox, on peut supposer sans risque qu’un exploit RCE peut avoir plusieurs impacts. Il est généralement capable de contourner les protections des utilisateurs, compromettre les contrôles de gestion des terminaux ou créer une brèche débouchant sur une compromission plus large des flottes mixtes personnelles et professionnelles. Tous les mobiles fonctionnant sous Android 13 à 16 étant concernés par cette vulnérabilité désormais corrigée, de nombreux parcs informatiques d’entreprise pourraient encore être vulnérables. La bibliothèque affectée est largement utilisée partout où des images sont traitées, notamment dans les applications système (Galerie, Appareil photo), les applications de messagerie et les applications tierces qui s’appuient sur les API d’image de Samsung.
Le bug derrière les pixels
Répertoriée sous la référence CVE-2025-21043, cette faille résulte d’un problème d’écriture hors limites dans libimagecodec.quram.co, une bibliothèque d’analyse d’images spécifique à Samsung. Un pirate peut déclencher le bug à l’aide d’un fichier image spécialement conçu, ce qui conduit à l’exécution de code à distance (RCE). Samsung a confirmé que ce bug critique (CVSS 8,8 sur 10) était exploité lorsque Meta/WhatsApp l’a signalé en privé en août. Même l’entreprise n’a divulgué aucun détail sur l’attaque, les applications de messagerie sont un vecteur évident puisqu’elles traitent régulièrement les images entrantes.
Les experts en sécurité soulignent que l’exploit peut s’exécuter silencieusement, ne nécessitant que peu ou pas d’action de la part de la victime, ce qui est classique des attaques de type zéro clic. « Ce problème renforce l’importance d’une gouvernance stricte des terminaux mobiles », a déclaré Randolph Barr, directeur de la sécurité informatique chez Cequence Security. « Les équipes de sécurité doivent dépasser le débat entre contrôle personnel et celui d’entreprise et se concentrer sur la réalité : les appareils non gérés représentent un risque pour l’entreprise », a-t-il poursuivi. « Étant donné que c’est la personne responsable de la sécurité qui sera interrogée après un incident, les dirigeants doivent sensibiliser leurs collaborateurs à la nécessité de l’usage d’un MDM, fournir des preuves claires de son importance et lutter de front contre les idées reçues », a ajouté M. Barr.
Un risque pour les entreprises
Un correctif Release-1 de septembre 2025 de Samsung corrige la faille qui affecte les smartphones fonctionnant sous Android versions 13 à 16. Mais pour les entreprises, la faille CVE-2025-21043 concerne plus qu’un simple problème lié aux terminaux personnels : elle expose au risque d’avoir une porte dérobée dans les réseaux d’entreprise. En l’exploitant, les attaquants pourraient accéder à des applications professionnelles sensibles, à des comptes de messagerie électronique et même à des données des sociétés stockées sur l’appareil.
Les mobiles dont le correctif est incomplet dans les environnements BYOD ou mixtes peuvent involontairement servir de passerelles vers des systèmes d’entreprise critiques. M. Barr fait remarquer que le suivi de la conformité des correctifs peut s’avérer difficile dans les configurations BYOD, où les utilisateurs peuvent résister aux contrôles ou aux mises à jour du gestionnaire de flottes. « En dehors du MDM, les entreprises qui utilisent Entra ID ou d’autres outils SSO peuvent souvent voir les connexions par appareil et contacter directement les utilisateurs pour confirmer les mises à jour. Même si la plupart du temps les mises à jour sont automatiques sur les appareils Android, la vérification reste essentielle », a-t-il insisté.