One UI 7 en pause : Samsung dit stop, il y a une faille de sécurité majeure

Alerte rouge pour Samsung : moins d'une semaine après le lancement mondial de sa mise à jour tant attendue, One UI 7, la firme sud-coréenne a dû tirer précipitamment le frein à main. Cette surcouche logicielle, basée sur Android 15, devait améliorer l'expérience et la sécurité des utilisateurs des Galaxy S24, Z Flip 6 et Z Fold 6. Mais c'est tout l'inverse qui s'est produit.

Plusieurs utilisateurs coréens, après avoir installé la mise à jour, se sont retrouvés dans l'incapacité de déverrouiller normalement leur smartphone. Mais ce qui inquiète encore plus, c'est une faille critique identifiée au sein de l'application "Dossier Sécurisé". Cet espace, censé protéger les photos, vidéos et fichiers sensibles, ne serait plus aussi hermétique qu'il le prétend.

Des fichiers privés exposés au grand jour

Concrètement, le problème proviendrait de la fonctionnalité de création automatique de "stories" dans l'application "Galerie". Celle-ci génère spontanément des montages à partir des contenus du téléphone, y compris ceux censés être protégés et cachés dans le Dossier Sécurisé. Pire encore, ces montages échappent au périmètre sécurisé via une simple notification, qui une fois cliquée, dévoile intégralement leur contenu. Une situation kafkaïenne pour les utilisateurs, puisque cette fonction est activée par défaut.

Au-delà de cette vulnérabilité initialement révélée, d'autres experts ont aggravé le diagnostic. Ainsi, Mishaal Rahman, expert renommé en sécurité Android, a réussi à démontrer qu'il était possible de contourner aisément la sécurité du Dossier Sécurisé. Pour y parvenir, il a simplement utilisé un profil professionnel créé par une application tierce. Résultat : photos, vidéos et même la liste des applications censées rester confidentielles devient facilement accessible à toute personne ayant l'appareil concerné entre les mains.

Communication a minima et incertitude

Samsung a réagi sans tambour ni trompette, supprimant discrètement One UI 7 de ses serveurs sans communication officielle immédiate. C'est seulement plus tard que la firme sud-coréenne a confirmé, à demi-mot, la suspension du déploiement en évoquant un besoin de "réviser le calendrier afin de garantir une expérience utilisateur optimale". Pour les millions d'utilisateurs concernés, c'est donc l'incertitude en attendant le correctif.

Pour l'heure, Samsung n'a encore communiqué aucune date concernant une version corrigée. À court terme, cela signifie un retard considérable pour l'ensemble des utilisateurs Galaxy. Les propriétaires des Galaxy S23 et des autres gammes intermédiaires font partie des premiers concernés. Ils auraient initialement dû être éligibles courant mai et juin prochains. Ce coup d'arrêt intervient alors même que la mise à jour avait déjà été retardée durant plusieurs mois par rapport au calendrier initial.

Des solutions temporaires existent mais elles restent limitées

Tant que le correctif n'est pas déployé, la prudence est de mise. Les utilisateurs déjà passés à One UI 7 peuvent temporairement empêcher la fuite de leurs données sensibles en désactivant manuellement la création automatique de stories. Pour ce faire, il suffit d'accéder aux paramètres de l'application Galerie depuis le Dossier Sécurisé.

Concernant la vulnérabilité du profil professionnel, un chiffrement manuel du Dossier Sécurisé permet de verrouiller momentanément l'accès aux fichiers protégés. Néanmoins, même cette méthode ne permet pas de masquer les applications confidentielles apparaissant toujours dans les paramètres d'autorisation du système. Autant dire qu'à ce stade, il n'existe pas de parade totalement satisfaisante au problème. Samsung va devoir redoubler d'efforts pour le résoudre et rassurer ses très nombreux utilisateurs.