Si vous êtes de celles et ceux à ignorer les mises à jour Android, celle de février pourrait bien vous faire changer d’avis.
Comme tous les mois, Google déploie sa mise à jour de sécurité pour Android. Mais celle de février sort du lot : au total, une cinquantaine de problèmes ont été corrigées, parmi lesquelles une vulnérabilité cachée dans le noyau Linux depuis 2008, déjà exploitée, ainsi qu’une faille détectée dans les composants de communication WLAN de Qualcomm, ouvrant la voie à des intrusions à distance, sans interaction nécessaire. À votre place, on ne tarderait pas à vérifier la disponibilité du patch.
47 failles corrigées, une vulnérabilité déjà exploitée
Nouvelle vague de correctifs pour Android, et cette fois, Google ne fait pas les choses à moitié. Pas moins de 47 vulnérabilités ont été corrigées, dont une déjà activement exploitée. Référencée CVE-2024-53104, avec un score CVSS de 7.8, cette faille touche le pilote USB Video Class (UVC) intégré au noyau Linux. Et elle serait passée sous le radar des équipes de sécurité depuis… 2008.
Concrètement, cette vulnérabilité permettait à des hackers de mener des attaques par élévation de privilèges, en exploitant un bug d’écriture hors limite dans le pilote vidéo USB. En clair, un acteur malveillant pouvait provoquer une corruption de mémoire, faire planter votre système, ou potentiellement exécuter du code malveillant sur l’appareil. Google ayant confirmé que cette faille était déjà possiblement exploitée dans des attaques ciblées, mieux vaut ne pas traîner pour mettre à jour votre smartphone.
Autre faille critique à surveiller de près : CVE-2024-45569, détectée dans le composant WLAN de Qualcomm. Avec un score CVSS quasi-parfait de 9.8, elle figure parmi les vulnérabilités les plus dangereuses. Cette faille est due à une mauvaise validation des indices de tableau lors de la gestion des communications WLAN.
11 octobre 2024 à 10h03
Pour le dire plus simplement, un attaquant pourrait envoyer des paquets spécialement conçus pour exploiter cette faiblesse, entraînant une corruption de mémoire et mettant potentiellement à mal l'intégrité de l'appareil. Plus inquiétant encore, l'attaque peut être menée à distance, sans interaction utilisateur, ce qui en fait une menace sérieuse pour les appareils équipés des puces Qualcomm concernées.
Pour corriger ces brèches – et les 45 autres –, Google a publié deux niveaux de correctifs, déployés les 1er et 5 février 2025. Pourquoi deux dates ? Simple question de stratégie. Le patch du 1er février vise à colmater rapidement les failles les plus répandues, celles qui touchent la majorité des appareils Android. Une première couche de protection, en somme.
Pour une couverture complète, il faudra viser le correctif du 5 février, qui inclut non seulement les vulnérabilités déjà corrigées, mais aussi les failles plus complexes, comme celle liée aux puces Qualcomm.
Cette approche en deux temps devrait aussi laisser aux fabricants un peu de marge pour intégrer ces mises à jour à leurs calendriers d'updates. Mais si vous tenez à la sécurité de votre appareil, mieux vaut vous assurer que le patch le plus récent est bien installé.
Comment vérifier (et installer) le patch de sécurité
Pour savoir si votre smartphone est protégé, direction les paramètres de l’appareil. En fonction de votre modèle, sélectionnez Système ou À propos du téléphone, puis repérez Mises à jour logicielles (ou Mise à jour du système). Vérifiez la date du dernier correctif de sécurité installé. Si vous voyez 1er février 2025, vous êtes déjà bien couvert. Le patch du 5 février 2025, qui apportera des protections supplémentaires, sera quant à lui disponible dès demain.
En revanche, si la date affichée est antérieure au 1er février, votre appareil n’a pas encore reçu les correctifs essentiels. Dans ce cas, lancez manuellement une recherche de mise à jour. Comme toujours, les Pixel devraient les recevoir rapidement. Pour les autres marques, tout dépendra du calendrier de déploiement propre à chaque fabricant.
Et si votre smartphone ne reçoit plus de mises à jour ? Là, plusieurs options : restez vigilant vis-à-vis des applications que vous installez, évitez les sources de téléchargement non officielles, utilisez un antivirus pour renforcer la sécurité de l’appareil ou, si vous préférez jouer la carte de la prudence, envisagez de troquer votre vieux smartphone contre un modèle plus récent. Vous avez de la chance, les soldes d’hiver courent jusqu’à ce soir.
Sources : Google, The Hacker News
28 janvier 2025 à 09h35
