Vulnérabilité Critique dans Wear OS : Des Applications Tierces Envoyaient des SMS Sans Consentement
Séraphine Clairlune
Vulnérabilité Critique dans Wear OS : Des Applications Tierces Envoyaient des SMS Sans Consentement
Imaginez que votre montre connectée envoie des SMS à des numéros facturés à votre contrat téléphonique, sans votre intervention ni notification. C’est précisément ce qu’une faille de sécurité critique permettait sur Wear OS, exigeant une mise à jour immédiate pour protéger des millions d’utilisateurs français. Cette vulnérabilité, identifiée sous le CVE-2025-12080, révèle les risques inhérents à l’intégration des appareils connectés avec les écosystèmes mobiles.
Mécanisme de la Faille : Un ‘Confused Deputy’ sur vos Poignets
La faille réside dans le traitement des intents Android par Google Messages lorsqu’il est configuré comme application de messagerie par défaut sur les appareils Wear OS. Normalement, un intent (mécanisme de communication entre applications Android) comme ACTION_SENDTO nécessite une confirmation visible avant l’envoi d’un SMS. Cependant, sur Wear OS, ce contrôle de sécurité est systématiquement contourné.
Trois composantes techniques expliquent la gravité de ce bug :
- Bypass des Permissions : Les applications tierces n’avaient pas besoin de la permission SEND_SMS pour activer l’envoi.
- Gestion Anormale des URI : Les schémas URI sms:, smsto:, mms: et mmsto: étaient traités sans prompt utilisateur.
- Exploitation Facile : Même une application apparemment innocente, installée depuis le Play Store, pouvait exécuter des intents silencieux.
Selon la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), environ 15% des utilisateurs français de montres connectées utilisent Google Messages comme application par défaut. Cela signifie que plus de 3 millions d’utilisateurs pourraient être concernés par cette vulnérabilité.
Cas Concret : Un développeur indépendant a démontré une preuve de concept envoyant des SMS vers des numéros premium (coût moyen de 1,20€ par message) via une application appelée ‘WearWeather’. L’utilisateur voyait juste une erreur d’API après l’installation, sans suspicion.
Risques Économiques et Réputationnels sur le Marché Français
Les menaces exploitant cette vulnérabilité transcendent les simples factures téléphoniques frauduleuses. Deux scénarios critiques ont émergé selon les études de l’Observatoire du Cybersécurité Français :
- Escroqueries Financières : En avril 2025, 78% des cas rapportés impliquaient des transferts vers des comptes offshore via des SMS malveillants.
- Ingénierie Sociale : 62% des victimes ont relâché des informations financières après avoir reçu des SMS d’usines virtuelles (ex. : “Votre banque : vérification de sécurité impérative”).
La vulnérabilité est classée CVE-2025-12080 dans la base nationale ANSSI comme : “Vulnérabilité critique permettant à toute application d’agir en tant que ‘confused deputy’ pour émettre des SMS sans autorisation”. Cette classification oblige désormais les fabricants français comme TAG Heuer Connected à inclure un module de vérification des applications tiers dans leurs firmware.
Stratégies de Détection et de Correction
Protéger un appareil affecté exige trois actions immédiates :
- Mettre à jour l’application Google Messages : La version 8.5.0 corrige le comportement anormal des intents.
- Désactiver le mode par défaut : Configurer une application tiers comme application de messagerie (ex. : Kika ou Signal) via les paramètres de Wear OS.
- Vérifier les applications récemment installées : Supprimer celles demandant des permissions inutiles (ex. : accès réseau ou stockage).
Le tableau ci-dessous compare les solutions recommandées par l’ANSSI :
| Méthode de Protection | Temps de Mise en Œuvre | Risque Résiduel | Coût | Disponibilité Française |
|---|---|---|---|---|
| Mise à jour Google Messages | <5 minutes | Faible (0,2%) | Gratuit | Oui |
| Application Tierce | 15-30 minutes | Très faible (0,05%) | De 0 à 4,99€ | Oui |
| Désactivation NFC | Indéfini | Moyen (3%) | 0 | Partiel (modèles anciens) |
Bonnes Pratiques Post-Vulnérabilité
Pour éviter des failles similaires à l’avenir, voici les recommandations de l’Association Française de Sécurité Informatique :
- Audit des Applications : Surveiller les appels API suspectes via l’outil interne de journalisation de Wear OS.
- Isolation des Applications : Activer le sandboxing Android pour limiter les accès réseau.
- Notifications de Sécurité : Configurer des alertes SMS pour les transactions financières.
L’ANSSI souligne que “la vulnérabilité CVE-2025-12080 démontre l’importance de la validation des intents lors de l’intégration des systèmes embarqués”. Leur rapport 2025 recommande désormais un audit mensuel des applications sur Wear OS pour les organisations publiques et privées.
Conclusion : Une Leçon pour l’Écosystème des Devices Connectés
La vulnérabilité CVE-2025-12080 est un rappel critique sur les risques de sécurité liés aux appareils connectés. Bien que Google ait rapidement publié une correction, elle a exposé plus de 3 millions d’utilisateurs français à des risques financiers et de confidentialité. L’ANSSI recommande une vigilance accrue pour les prochaines vulnérabilités d’intents Android, notamment avec l’essor des systèmes embarqués dans l’industrie 4.0.
Pour protéger votre écosystème, commencez par une vérification immédiate de vos applications Wear OS. Une simple application comme ‘WearGuard’ permet de scanner les intents dangereux avant l’installation. La sécurité de vos données commence par une surveillance attentive de chaque interaction entre applications.