Un milliard d'appareils Android sont vulnérables aux attaques de pirates informatiques

Alerte de sécurité pour le système d’exploitation Android ! L’organisation britannique pour la protection des consommateurs Which? vient d’annoncer que plus d’un milliard d’appareils Android ne reçoivent plus de mise à jour de sécurité critique du fait de leur obsolescence. Plus précisément, cela concerne deux utilisateurs d’Android sur 5, soit environ 40 % d’appareils Android dans le monde. La principale raison évoquée réside dans le fait que Google n’offre plus de mises à jour de sécurité et de protection intégrée sur les anciennes versions d’Android. Les risques potentiels pour les utilisateurs concernés vont du vol de données personnelles jusqu’aux demandes de rançons, ainsi qu’à toutes sortes d’attaques du domaine financier.

Which? aurait même réalisé des tests en laboratoire pour pouvoir affirmer ces informations. L’organisation aurait donc acheté quelques smartphones (ce qui signifie que les produits en question sont toujours disponibles en vente dans les boutiques en ligne, comme chez Amazon Marketplace par exemple), dont des modèles de Motorola, Samsung, Sony, LG et Google. Il s’avère que les appareils qui fonctionnent avec une version antérieure à Android 8 ne reçoivent plus les mises à jour de sécurité, comme c’est le cas avec des smartphones relativement âgés. Which? cite en particulier quelques noms tels que les Samsung Galaxy S3 et S6, le Samsung Galaxy A5 (2017), les Sony Xperia S et Z2, le Motorola X, le Google Nexus 5. À l’exception du Samsung Galaxy A5, ces modèles ne peuvent plus accéder à Android 8 (Oreo).

Les tests de laboratoire (en collaboration avec AV Comparatives) ont montré que ces appareils ont pu être facilement infectés par notamment les deux malwares suivants (il semble d’ailleurs que les tests se sont limités à seulement quelques logiciels malveillants, ce qui signifie que ces smartphones peuvent être également infectés par d’autres malwares) :

Stagefright : il s’agit d’un malware dont l’attaque peut être très dévastatrice, car le pirate est susceptible de prendre le contrôle total de l’appareil infecté, ce qui expose l’utilisateur à un vol des données et au verrouillage du téléphone pour une demande de rançon ;

Joker : également dénommé Bread, c’est un logiciel malveillant qui existe depuis 2017, une sorte de cheval de Troie qui incite l’utilisateur à télécharger un autre malware destiné à faire majorer les factures de cet utilisateur via le téléphone désormais infecté ; mais, les pirates peuvent même aller jusqu’au vol des coordonnées stockées dans le téléphone dans le but de cibler d’autres utilisateurs. L’année dernière, Google a dû supprimer sur Play Store environ 1700 applications infectées par Joker.

En fait, toujours selon Which? Android Security Bulletin a confirmé qu’aucun correctif de sécurité n’a été émis spécifiquement pour les versions d’Android antérieures à 7.0 (Nougat). Cela dit, plus d’un milliard d’utilisateurs sont ainsi menacés, dont des millions d’appareils Android encore utilisés au Royaume-Uni, selon l’estimation de Which? Dorénavant, Google a refusé de s’exprimer sur le nombre potentiel des utilisateurs concernés par cette menace de sécurité. En tout cas, sur la base des données émises par Google en mai 2019, 42.1 % des utilisateurs actifs d’Android utilisent encore la version 6.0 (Marshmallow) ou antérieure. Le téléphone Sony Xperia Z2, toujours disponible en vente, fonctionne même avec Android 4.4.2 (KitKat).

En somme, plus l’appareil Android est âgé, plus le risque qu’il ne reçoive plus de mise à jour de sécurité est élevé. La préoccupation de l’organisation britannique de protection des consommateurs tourne alors autour de la durée de vie d’un smartphone Android : jusqu’à quand ce dernier pourrait bénéficier d’un support de sécurité viable. Cela invite également les utilisateurs à se demander s’il vaut vraiment la peine de garder en utilisation active leurs vieux téléphones. Enfin, il apparaît important pour les consommateurs, avant d’acheter un appareil Android, de s’informer sur la durée de prise en charge des versions d’Android par Google en termes de mise à jour de sécurité d’une part, et sur le rythme de déploiement des correctifs de sécurité qui peut varier suivant l’appareil (car le fabricant modifie généralement certains composants d’Android pour les adapter à l’appareil en question).

Source : Which? Via.