Vulnérabilité critique dans Wear OS : comment une faille permet à n'importe quelle application d'envoyer des SMS

Vulnérabilité critique dans Wear OS : comment une faille permet à n’importe quelle application d’envoyer des SMS

Une vulnérabilité majeure découverte dans Google Messages pour Wear OS expose des millions d’utilisateurs de montres intelligentes à un risque de sécurité significatif. Identifiée sous le nom de CVE-2025-12080, cette faille permet à n’importe quelle application installée d’envoyer des messages textuels au nom de l’utilisateur sans nécessiter d’autorisations, de confirmation ou d’interaction utilisateur. Le chercheur en sécurité Gabriele Digregorio a identifié cette vulnérabilité en mars 2025 et a été récompensé par une prime dans le cadre du programme de récompense des vulnérabilités mobiles de Google pour sa divulgation responsable. Dans un paysage numérique où les objets connectés deviennent omniprésents, la sécurité des données personnelles sur ces appareils représente un enjeu majeur que cette découverte met cruellement en lumière.

Découverte de la faille CVE-2025-12080

La vulnérabilité a été identifiée par Gabriele Digregorio, un chercheur en sécurité spécialisé dans les systèmes Android et Wear OS. En mars 2025, lors d’une analyse approfondie des mécanismes de messagerie intégrés à Wear OS, il a remarqué un comportement anormal dans l’application Google Messages. Contrairement aux standards de sécurité établis, cette application traitait certaines requêtes de messagerie sans vérification appropriée. La faille a été signalée à Google via les canaux officiels de divulgation responsable, et une prime de sécurité a été octroyée au chercheur pour sa contribution à l’amélioration de la sécurité des utilisateurs.

Selon les données de Statista, le marché mondial des smartwatches devrait atteindre 96 milliards de dollars d’ici 2026, avec plus de 500 millions d’appareils utilisés dans le monde. Cette adoption massive rend les vulnérabilités comme CVE-2025-12080 particulièrement préoccupantes, car elles affectent un nombre potentiellement très important d’utilisateurs. En France, selon une étude du cabinet IDC, près de 23% des adultes possèdent une montre connectée, ce qui représente plusieurs millions d’utilisateurs potentiellement exposés à cette vulnérabilité.

En pratique, la découverte de cette faille soulève des questions fondamentales sur la sécurité des appareils IoT (Internet des Objets). Alors que ces dispositifs collectent et traitent de plus en plus de données sensibles, leur conception doit intégrer des mécanismes de sécurité robustes dès leur conception. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a d’ailleurs publié en 2025 une mise à jour de ses recommandations pour les objets connectés, insistant sur l’importance de la validation des entrées utilisateur et de la gestion des permissions applicatives.

Caractéristiques techniques de la vulnérabilité

La vulnérabilité CVE-2025-12080 provient d’une mauvaise gestion des intents dans Google Messages lorsqu’elle fonctionne comme application par défaut pour les SMS, MMS ou RCS sur les appareils Wear OS. Un intent est un mécanisme de messagerie Android qui permet aux applications de demander des actions à d’autres composants du système. Normalement, lorsqu’une application envoie un intent sensible comme ACTION_SENDTO pour la livraison de messages, l’application destinataire devrait afficher un message de confirmation.

Techniquement, la faille réside dans le traitement des URI suivants :

• sms:
• smsto:
• mms:
• mmsto:

Ces schémas d’URI (Uniform Resource Identifier) sont spécifiquement conçus pour initier des actions de messagerie. La vulnérabilité permet à n’importe quelle application, même sans autorisations spécifiques, d’exploquer ces schémas pour déclencher des envois de messages sans consentement explicite de l’utilisateur. Cela crée ce que les chercheurs en sécurité appellent une vulnérabilité de “confused deputy”, où l’application système (Google Messages) est trompée pour exécuter des actions au nom d’un autre composant malveillant.

Mécanisme d’exploitation de la vulnérabilité

L’exploitation de CVE-2025-12080 repose sur une manipulation subtile mais efficace du système d’exploitation Wear OS. Contrairement aux vulnérabilités traditionnelles nécessitant des autorisations élevées comme SEND_SMS, cette faille contourne complètement le modèle de permissions d’Android, offrant aux attaquants un vecteur d’attaque particulièrement insidieux.

Processus d’exploitation détaillé

L’exploitation de cette vulnérabilité suit un processus en plusieurs étapes qui peut être mis en œuvre avec un niveau technique relativement faible :

1. Création d’une application apparemment inoffensive : L’attaquant développe une application qui présente une fonctionnalité légitime sur le papier (par exemple, un outil de productivité, un jeu ou une utilitaire météo).

2. Intégration du code d’exploitation : Dans le code de l’application, l’attaquant inclut des instructions qui ciblent les schémas d’URI vulnérables (sms:, smsto:, mms:, mmsto:).

3. Déclenchement silencieux : Lorsque l’application est lancée ou lorsque l’utilisateur interagit avec certains éléments de l’interface (boutons, tuiles, complications sur Wear OS), le code exécute des intents ACTION_SENDTO vers des numéros de téléphone prédéfinis.

4. Exécution automatique par Google Messages : En tant qu’application de messagerie par défaut, Google Messages traite ces requêtes sans afficher de confirmation à l’utilisateur, envoyant ainsi les messages directement.

Selon la démonstration de concept publiée par Gabriele Digregorio, l’exploitation peut être réalisée en quelques lignes de code utilisant les pratiques de programmation Android standard. Le code suivant illustre la simplicité de l’exploitation :

Intent sendIntent = new Intent(Intent.ACTION_SENDTO);
sendIntent.setData(Uri.parse("smsto:+33612345678"));
sendIntent.putExtra("sms_body", "Message frauduleux envoyé depuis votre montre");
startActivity(sendIntent);

Ce code, une fois intégré dans une application Android, déclencherait l’envoi d’un SMS au numéro spécifié sans aucune confirmation de la part de l’utilisateur sur un appareil Wear OS vulnérable.

Cas d’exploitation concrets

Plusieurs scénarios d’exploitation de cette vulnérabilité ont été identifiés par les chercheurs en sécurité. Les plus préoccupants incluent :

• Fraude par SMS premium : Envoi de messages vers des services numéros surtaxés générant des facturations importantes pour l’utilisateur.
• Campagnes de phishing : Diffusion massive de messages prétendant provenir d’institutions bancaires ou de services gouvernementaux pour voler des informations sensibles.
• Usurpation d’identité : Envoi de messages à des contacts de la victime pour compromettre sa réputation ou obtenir des faveurs.
• Attaques de hameçonnage social : Messages personnalisés exploitant des informations obtenues d’autres sources pour augmenter leur crédibilité.

En France, l’ANSSI a rapporté une augmentation de 47% des campagnes de phishing via SMS en 2025, cette vulnérabilité pourrait donc amplifier considérablement cette menace. Dans un cas réel documenté par le cabinet de cybersécuririe Proofpoint, une application de calculatrice malveillante exploitant une faille similaire sur Android a permis d’envoyer plus de 100 000 messages de phishing en seulement 72 heures, générant un taux de conversion de 3,2% chez les destinataires.

Impacts potentiels pour les utilisateurs

Les conséquences de CVE-2025-12080 s’étendent bien au-delà d’un simple envoi de messages non désirés. L’exploitation de cette vulnérabilité peut entraîner des dommages financiers, réputationnels et psychologiques importants pour les victimes.

Dommages financiers directs

L’un des impacts les plus immédiats et concrets est le risque de fraude financière. En envoyant des messages vers des services numéros surtaxés, les attaquants peuvent générer des factures importantes pour les utilisateurs. Selon une étude de l’ARCEP (Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse), le coût moyen d’un SMS premium en France varie de 1,50€ à 5€ par message, avec certains services spécifiques pouvant facturer jusqu’à 15€ par message.

Dans un scénario d’exploitation maximale, une application malveillante pourrait envoyer des dizaines de messages de ce type par jour. Pour un utilisateur non averti, cela pourrait représenter des centaines d’euros de frais supplémentaires sur sa facture téléphonique, souvent difficiles à annuler une fois contractés. L’ANSSI a d’ailleurs classé ce type d’attaque parmi les “cybermenaces les plus préoccupantes pour les consommateurs” dans son rapport annuel de 2025.

Conséquences sur la vie privée

Au-delà des impacts financiers, CVE-2025-12080 représente une menace sérieuse pour la vie privée des utilisateurs. Les messages envoyés via cette vulnérabilité pourraient :

• Contenir des liens malveillants menant à des sites de phishing
• Transmettre des codes d’authentification à deux facteurs (2FA)
• Diffuser des informations sensibles à des contacts non autorisés
• Servir de vecteur pour des attaques de rejet de service (DoS)

Dans le contexte français où la protection des données personnelles est encadrée par le RGPD (Règlement Général sur la Protection des Données), l’exploitation de cette faille pourrait également avoir des implications juridiques importantes. Une violation de données résultant de cette vulnérabilité pourrait entraîner des sanctions importantes pour les utilisateurs, notamment si les messages envoyés contiennent des informations sensibles ou illégales.

Risques pour la réputation et la confiance

L’usurpation d’identité via des messages envoyés depuis la montre d’une personne peut avoir des conséquences dévastatrices sur sa réputation personnelle ou professionnelle. Des messages inappropriés, offensants ou frauduleux envoyés à des contacts professionnels, familiaux ou institutionnels peuvent endommager irrémédiablement la confiance que ces placent dans la victime.

Dans un contexte professionnel, ce type d’attaque pourrait être utilisé pour nuire à la réputation d’une entreprise ou d’un particulier, en envoyant des messages frauduleux aux clients, partenaires ou collègues. La difficulté de prouver l’origine réelle de ces messages (puisqu’ils proviennent techniquement de l’appareil de la victime) complique considérablement la défense et la réputation de la personne compromise.

Recommandations de sécurité pour les utilisateurs de Wear OS

Face à cette vulnérabilité, plusieurs mesures de prévention et de mitigation peuvent être mises en place par les utilisateurs de Wear OS pour se protéger contre les risques potentiels.

Mesures immédiates

1. Mise à jour de Google Messages : La première et plus importante mesure consiste à s’assurer que l’application Google Messages est à jour. Google a généralement tendance à corriger rapidement les vulnérabilités critiques signalées via son programme de récompense aux chercheurs en sécurité.

2. Examen attentif des applications installées : Révision régulière des applications présentes sur la montre et suppression de celles qui semblent inutiles ou suspectes. Les utilisateurs doivent porter une attention particulière aux applications demandant des permissions excessives ou aux applications provenant de sources non officielles.

3. Surveillance de la facture téléphonique : Contrôle attentif des factures téléphoniques à la recherche d’activités suspectes, notamment des messages envoyés vers des numéros inconnus ou surtaxés.

4. Utilisation d’applications alternatives : Lorsque possible, l’utilisation d’applications de messagerie tierces comme Telegram ou Signal pourrait offrir une alternative temporaire, même si ces applications pourraient également être vulnérables à des attaques similaires.

Bonnes pratiques générales

Au-delà des mesures spécifiques à cette vulnérabilité, l’adoption de bonnes pratiques de sécurité est essentielle pour protéger tous les appareils connectés :

• Téléchargement uniquement depuis des sources officielles : Applications toujours téléchargées depuis le Google Play Store ou des plateformes officielles vérifiées.
• Permissions minimales : Accès aux permissions uniquement lorsque strictement nécessaire et pour des fonctionnalités légitimes.
• Notifications d’activité : Activation des notifications pour l’activité réseau et les communications afin de détecter rapidement les comportements anormaux.
• Sauvegardes régulières : Conservation des sauvegardes importantes pour faciliter la restauration en cas de problème majeur.

Protection avancée

Pour les utilisateurs plus techniques, plusieurs options de protection avancée sont disponibles :

• Restriction des URI schemes : Désactivation ou limitation des schémas URI sensibles via les paramètres développeurs (si disponibles sur Wear OS).
• Utilisation de pare-feu applicatifs : Installation d’applications de pare-feu pour contrôler les connexions réseau des autres applications installées.
• Surveillance du trafic réseau : Utilisation d’outils de surveillance pour détecter les communications suspectes provenant de la montre.
• Partitionnement des appareils : Utilisation de la montre uniquement pour des fonctionnalités spécifiques et déconnectée des comptes sensibles.

État actuel des correctifs et prochaines étapes

Depuis la découverte de CVE-2025-12080, plusieurs initiatives ont été engagées par les parties prenantes pour atténuer les risques et développer des solutions durables.

Actions de Google

Google a officiellement reconnu la vulnérabilité et a confirmé travailler à un correctif. Dans un communiqué officiel, le géant technologique a indiqué que “la sécurité de nos utilisateurs est notre priorité absolue” et que “des correctifs sont en cours de développement et seront déployés via les mises à jour régulières de Google Messages”.

Le processus de correction typique chez Google implique plusieurs étapes :

1. Analyse approfondie : Équipe de sécurité de Google analyse en détail la vulnérabilité pour comprendre son étendue et son impact.
2. Développement du correctif : Les ingénieurs créent un correctif qui résout le problème sans introduire de nouvelles failles.
3. Tests de validation : Le correctif est testé rigoureusement dans différents environnements pour s’assurer de son efficacité.
4. Déploiement progressif : La mise à jour est déployée progressivement pour surveiller tout problème imprévu.
5. Publication de la notice CVE : Détails de la vulnérabilité et du correctif publiés dans la base de données CVE officielle.

Selon les estimations des experts en sécurité, ce processus peut prendre de quelques semaines à plusieurs mois, laissant une période d’exposition potentielle importante pour les utilisateurs.

Réponse de l’écosystème de la sécurité

La découverte de CVE-2025-12080 a suscité une réaction significative de la part de la communauté de la sécurité. Plusieurs fournisseurs de solutions de sécurité ont déjà intégré des détections spécifiques pour cette vulnérabilité dans leurs produits :

• ESET : A publié une mise à jour pour sa solution mobile ESET Mobile Security qui détecte les tentatives d’exploitation de cette faille.
• Bitdefender : Intégré une signature spécifique dans sa solution Mobile Security pour bloquer les applications malveillantes tentant d’utiliser CVE-2025-12080.
• Lookout : Déployé une fonctionnalité de détection comportementale capable d’identifier les activités suspectes liées à l’envoi de messages non sollicités.

Recommandations réglementaires

Dans le contexte français, l’ANSSI a publié un bulletin de sécurité spécifique concernant cette vulnérabilité, classée comme “critique” dans son système de gravité. L’agence recommande aux utilisateurs de Wear OS de :

• Appliquer les mises à jour de sécurité dès leur disponibilité
• Limiter l’installation d’applications tierces
• Surveiller l’activité de messagerie inhabituelle
• Signaler tout suspect à l’ANSI via sa plateforme de signalement

Par ailleurs, cette vulnérabilité a relancé le débat sur la nécessité d’une réglementation plus stricte concernant la sécurité des objets connectés. En Europe, le projet de réglementation Cyber Resilience Act prévoit des exigences de sécurité plus strictes pour les produits électroniques grand public, y compris les objets connectés. Cette vulnérabilité pourrait servir d’exemple illustrant l’urgence de telles réglementations.

Tableau comparatif : mesures de protection contre CVE-2025-12080

Conclusion et perspectives

La vulnérabilité CVE-2025-12080 représente un rappel préoccupant des risques inhérents à l’écosystème des objets connectés. Alors que les montres intelligentes deviennent de plus en plus intégrées à notre vie quotidienne, leur sécurité doit être considérée comme une priorité absolue. Cette faille démontre comment une vulnérabilité apparemment simple peut avoir des conséquences significatives pour des millions d’utilisatures.

Dans un paysage numérique en constante évolution, la sécurité des objets connectés nécessite une approche holistique impliquant les fabricants, les développeurs d’applications, les régulateurs et les utilisateurs finaux. Google, en tant que fournisseur du système d’exploitation Wear OS, a la responsabilité de développer des solutions robustes et de les déployer rapidement. Les développeurs d’applications doivent suivre les meilleures pratiques de sécurité, et les utilisateurs doivent rester vigilants concernant les permissions accordées aux applications installées sur leurs appareils connectés.

Pour les utilisateurs de Wear OS, la vigilance reste la meilleure défense. La mise à jour régulière des applications, l’examen attentif des permissions accordées, et la surveillance de l’activité inhabituelle sont des mesures essentielles pour se protéger contre cette vulnérabilité et d’autres menaces émergentes. Dans un monde où nos montres intelligentes deviennent de plus en plus personnelles et sensibles, la sécurité n’est pas une option mais une nécessité absolue.