Vulnérabilité d’Android Jelly Bean : Google ne fera rien !

Par Samir Azzemou

Partager

  • Facebook
  • Twitter
  • LinkedIn
  • Viadeo
  • RSS
google

Près d’un milliard de smartphones sous Android en circulation sont vulnérables. Une faille touche en effet le navigateur Web « stock » de toutes les versions d’Android antérieures à KitKat. Google serait au courant de la faille, mais ne devrait rien faire pour la combler.

Il y a une grande différence entre les mises à jour de sécurité et les mises à jour fonctionnelles. Les premières servent à corriger les bugs et les vulnérabilités des OS. C’est grâce à elles que certains virus informatiques sont stoppés. Les secondes sont celles qui sont paradoxalement les plus importantes aux yeux des consommateurs puisqu’elles ajoutent de nouveaux outils à l’OS. Si Microsoft et Apple maîtrisent plutôt bien la publication des mises à jour, n’hésitant pas à en déployer certaines pour combler uniquement des risques liés à la sécurité, Google a toujours des difficultés à le faire.

1 milliard de mobiles vulnérables

La preuve en est avec les derniers chiffres de la fragmentation d’Android : KitKat atteint 40 % du parc installé de l’OS. Ce qui veut dire que 60 % des usagers sont en Jelly Bean ou une version inférieure. Soit 940 millions de terminaux. La mise à jour doit passer par les constructeurs et les opérateurs. Un cheminement déjà bien difficile quand il s’agit de migrer vers KitKat ou Lollipop. Alors, quand il s’agit d’une faille de sécurité, autant dire que c’est encore plus compliqué.

Et pourtant, une faille touchant ce milliard de terminaux a été découverte. Et l’information a été publiée par le Wall Street Journal mi-janvier. Elle concerne le navigateur Web d’Android (navigateur qui a été changé avec KitKat). Grâce à un composant appelé Webview, les applications tierces sont en mesure d’afficher des pages Web sans ouvrir le browser natif. Mais cela ouvre aussi une porte vers le système et les informations personnelles. Ce qui est naturellement lourd de conséquences.

Non, il n'y aura aucun patch

Depuis, une réponse de Google était attendue pour connaître la position du géant de Mountain View. Ce n’est que le week-end dernier que cette dernière est apparue. Elle provient du compte Google Plus d’Adrian Ludwig, le responsable de l’équipe dédiée à la sécurité d’Android. Il explique dans une longue publication que l’entreprise est au courant de cette faille (c’est peut-être d’ailleurs la raison pour laquelle KitKat n’y est pas sujet), mais que l’entreprise ne fera rien pour la corriger. Pourquoi ? Parce que la faille demanderait de réécrire 5 millions de lignes de code et qu’il n’y a aucun moyen de les modifier sans mettre en danger l’ensemble du système.

Il n’y aura donc aucun patch possible pour corriger la faille. Quelle solution pour y remédier si vous êtes encore sous Gingerbread, Ice Cream Sandwich ou Jelly Bean ? Il vous faut changer le navigateur Web par défaut. De nombreux choix s’offrent à vous, mais le développeur en propose deux : Chrome (pour ceux qui ont un smartphone sous Android 4.0 et suivants) et Firefox de Mozilla (pour tous ceux qui disposent d’un mobile avec Android 2.3 et 3.0). Ces deux navigateurs sont mis à jour grâce au Play Store et ne nécessitent pas de patch pour le système. Voilà qui devrait vous rassurer.

Même s'il y a un patch, il ne serait pas déployé

Cependant, le fond du problème reste le même : la mise à jour de sécurité coûte de l’argent et est difficile à appliquer. D’abord le côté financier : Android est mis à jour uniquement par Google, les constructeurs ne faisant qu’intégrer ces changements, les adapter à leurs smartphones et à leurs surcouches et déployer les ROM. La maintenance coûte de l’argent et, au-delà de la complexité des 5 millions de lignes de code, n’a que peu d’intérêt économique quand elle touche les versions d’Android que Google ne souhaite plus supporter.

Ensuite, le côté technique : les constructeurs n’appliquent que très rarement les mises à jour déployées par la firme de Mountain View. Les grandes marques tentent de les appliquer à tout leur parc, mais ne le font pas systématiquement, loin de là. Et que dire de toutes les marques qui passent par des ODM ? Une mise à jour vers une version plus moderne de l’OS n’est déjà pas envisageable. Alors une maintenance de sécurité, n’en parlons pas !

Le vrai bug d'Android : la politique de mise à jour !

Google peut paraître sévère vis-à-vis de cette faille. Oui il est au courant, mais non il ne fera rien. Car, même s’il met l’argent sur la table, quel pourcentage des utilisateurs en profitera réellement ? Très peu. Rendez-vous compte que plus d’un an après sa sortie, KitKat ne concerne même pas la moitié des mobiles en circulation et la plupart le sont parce qu’ils étaient livrés avec nativement. La politique de mise à jour des OS sous Android est une utopie.

Partagez cet article

  • LinkedIn
comments powered by Disqus

Touchez pour ajouter le site à vos favoris ou sur votre écran d’accueil.