Votre smartphone Android est vulnérable, et pour Google c'est la faute des constructeurs

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 31 juillet 2023 à 16h15

Dans le cadre d'un rapport annuel portant sur la sécurité d'Android, Google dénonce le délai beaucoup trop important observé entre la publication d'un patch de sécurité majeur… et son déploiement effectif sur le parc de smartphones éligibles.

L'écart entre la publication, par Google, de correctifs pour des failles de sécurité « 0-day » (parmi les plus graves), et leur déploiement effectif par les constructeurs de smartphones Android est trop long. C'est ce que pointe une nouvelle fois Google dans un rapport annuel publié le 27 juillet dernier. Une lacune dont Android souffre maintenant depuis des années.

La faute aux constructeurs ?

Dans son rapport, Google déplore notamment une « série de cas où le fournisseur [Google] en amont avait publié un correctif pour le problème, mais où le fabricant en aval n'avait pas pris le correctif et ne l'avait pas publié pour que les utilisateurs puissent l'appliquer ». Un problème de délais « plus fréquents et plus longs » qui concernerait bien plus Android que les autres plateformes, explique Google.

« Ces écarts (….) permettent aux n-days (vulnérabilités connues du public) de fonctionner comme des 0-days parce qu'aucun correctif n'est disponible pour l'utilisateur et que son seul moyen de défense est de cesser d'utiliser l'appareil », poursuit la firme.

Google exhorte… une nouvelle fois

Google donne notamment deux exemples, très probants. Le premier concerne la faille découverte sur les GPU ARM Mali (utilisés par de très nombreux smartphones). Cette dernière n'a été comblée sur Android qu'en avril 2023, soit 6 mois après la sortie du patch initial (développé par ARM), 9 mois après la découverte de la faille en elle-même et 5 mois après qu'elle a commencé à être exploitée activement par des pirates.

Autre exemple, celui de la vulnérabilité découverte dans le navigateur par défaut de Samsung. Cette faille était due, au moins en partie, à l'utilisation par ce navigateur d'une version de Chromium vieille de 7 mois.

Google appelle donc l'industrie à faire mieux. Rappelant aux différents acteurs du marché qu'ils « doivent faire parvenir rapidement les correctifs et les mesures d'atténuation aux utilisateurs afin qu'ils puissent se protéger ». Reste que ces différents acteurs n'ont visiblement pas tous la même définition du mot « rapidement ».

Source : 9to5Google

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Google

Android

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Azael

Je n’aime pas la politique d’Apple, mais sur ce point, Apple a un bel avantage.
Si Google faisait comme Microsoft, être indépendant du hardware on n’aurait pas se problème. Et si les constructeurs ne sortaient pas un nouveau tel tous les 6 mois, les maj seraient plus rapides. Et si … je vais m’arrêter là

zeebix

Politique de l’autruche Google depuis quelques années déjà. c’est sans doute pas leur faute non plus les applications vérolé sur le store etc…

Tout n’est pas rose chez Apple mais sur ce point, ils s’en sortent nettement mieux.

wackyseb

Je suis d’accord avec @Azael, les téléphones ont maintenant assez de mémoire interne pour que Google face un OS Standard comme Windows ou Linux et que chacun y injecte ses drivers spécifiques si pas déjà dans le package de base.
Les utilisateurs auraient de ce fait un OS à jour niveau sécurité mais également les versions majeures potentiellement débloquées plus vite.

En plus les constructeurs se prendraient moins la tête à développer du specifique pour chaque téléphone.

Et c’est quand même du Linux sous Android avec un kernel Linux juste parametré de façon spécifique et où des drivers sont injectés à la compilation

jvachez

Non c’est de la faute à Google si l’OS est mal conçu. Ce n’est pas parce que ça tourne sur un téléphone qui faut faire une mécanique différente d’un PC.
Si Google avait fait comme Windows ou Linux sur PC on n’en serait pas là, il ne faut pas que les constructeurs aient à intervenir, tout doit se faire de façon centralisée comme avec Windows Update. Il faut une sorte de setup.exe mobile universel.
Le but des constructeurs Google compris d’ailleurs c’est de vendre il ne suivront donc jamais suffisamment les mises à jour sur des modèles plus commercialisés qui ne rapportent plus rien.

Bidouille

Effectivement, possesseur d’un Redmi Note 10, si je consulte les mises à jour de mon téléphone, la dernière mise à jour de sécurité date de février 2021 sous android 11. Depuis, c’est silence radio. J’ai pourtant souvent vu que mon téléphone était compatible avec Android 12 minimum. Mais aucune proposition de mise à jour.
Mais il est plus intéressant pour les constructeurs de proposer de nouveaux modèles.

Caramel34

En effet, la sortie de Android sur les chapeaux de roues après l’annonce de l’iPhone à poussé Google à ouvrir des portes pour les fabricants, les attirer si je puis dire.
Du coup chacun y est allé de sa sauce, il en résulte un véritable cafarnaum.

Revenir en arrière est faisable, pour Android 15 par exemple, un OS pour tous. Il est tout à fait possible de faire tourner n’importe quel smartphone avec le même OS et des drivers génériques, comme sous Linux, ensuite aux fabriquants de développer les drivers spécifiques.

Mais est ce la volonté de Google ? Des fabriquants ?

wedgantilles

C’est un peu facile de dire à Google de faire le boulot, il faut pas oublié que l’OS est conçu par Google et qu’ensuite les fabriquant utilise l’AOSP (Android Open Source Project), à partir de ce moment ce n’est plus le même OS que celui de Google, et dès ce moment là Google ne peu plus mettre à jour l’OS.
C’est là la différence avec Windows qui n’est pas open source qui du coup est bien mis à jour car l’OS n’est pas modifié.

L’exemple du navigateur sur Samsung est le parfait exemple du même problème, Samsung utilise Chromium, puis ne fais plus de mise à jour et laisse les utilisateurs avec des failles de sécurité, même problème que pour l’OS les mise à jour sont là seulement les constructeurs s’en fiche royalement.

MattS32

Google a quand même sa part de responsabilité, car il a des moyens de pression sur la plupart des constructeurs pour les « forcer » à mieux suivre les mises à jour.

Certes, il ne peut pas mettre à jour lui même l’OS compilé par le constructeur à partir de la base open source, mais il pourrait par exemple bloquer l’exécution des Play Service sur les appareils affectés par une faille de sécurité pour laquelle il existe un correctif depuis un certain temps. Il pourrait aussi menacer les constructeurs de leur refuser l’installation des applications Google (qui ne sont pas open source et nécessitent bien une licence auprès de Google) s’ils ne sont pas suffisamment bon élèves sur les mises à jour de sécurité.

Et ils pourraient aussi donner un peu plus l’exemple, en assurant le support de sécurité plus longtemps sur les Pixel, ce qui créerait une pression commerciale supplémentaire sur les constructeurs.

max6

Google propose aux fabricant un OS et leur permet de le recompiler avec de drivers spécifiques et propriétaires dans le noyau et nous acceptons de nous en servir.
Alphabet n’a jamais été un société philanthropique et elle se sert d’un noyau libre de droit avec les fabricants pour en faire un gigantesque business qui leur rapporte à tous une fortune.
On peut discuter tant qu’on veut mais tant que des lois n’imposeront pas de fournir les codes sources des pilotes logiciels rien ne changera, l’industrie ne connait que le profit et la punition, encore faut-il qu’elle soit supérieure au profit et pour cela ils sont prêt à détruire la planète s’il le faut.

Loposo

j’utilise le browser samsung et il y a les mises a jours .

Apres samsung il me semble c’est 4 ans de mise a jours d’os et securité, il me semble que nokia souhaite faire ca aussi.
Mais les marques chinoises pour en avoir, c’est pas terrible à ce niveau, smartphone moins cher mais os moins bien fini, support court.