Aller au contenu
James13

Sécurité d’Android : la plupart des fabricants zappe des correctifs, puis vous ment

Messages recommandés

Sécurité d’Android : la plupart des fabricants zappe des correctifs, puis vous ment

Une firme de cybersécurité a découvert que la grande majorité des constructeurs de smartphones ne déploie pas tous les correctifs disponibles et le cache en indiquant que l’appareil est bien à jour.

  • Par 
    Vous n'êtes pas autorisé à voir ce contenu caché
  •  vendredi 13 avril 2018 à 18:02 
  •  Mis à jour vendredi 13 avril 2018 à 18:02
  • Vous n'êtes pas autorisé à voir ce contenu caché
Sécurité d’Android : la plupart des fabricants zappe des correctifs, puis vous ment

 

Quand votre smartphone vous dit qu’il est à jour, c’est très souvent faux. Dans la majorité des cas, il lui manque plusieurs correctifs de sécurité. Voilà la découverte édifiante présentée par Karsten Nohl et Jakob Lell, chercheurs de la firme allemande Security Research Labs (SRL), lors de la conférence 

Vous n'êtes pas autorisé à voir ce contenu caché
 2018, organisée cette semaine à Amsterdam (Pays-Bas).

Comme le rapporte 

Vous n'êtes pas autorisé à voir ce contenu caché
, les chercheurs ont analysé pendant deux ans le code de 1200 téléphones Android en provenance d’une douzaine de grandes marques afin de vérifier qu’ils avaient bien installé les correctifs de sécurité indiqués dans leurs paramètres. SRL a vérifié la présence des patchs publiés en 2017 uniquement. Le résultat est juste hallucinant puisqu’il apparaît que la grande majorité des constructeurs ment littéralement aux clients, laissant leurs smartphones vulnérables à certaines failles, parfois critiques.

 

Qui sont les bons et les mauvais élèves ? 

SRL a publié un tableau récapitulatif des résultats moyens des principaux constructeurs. On peut y lire qu’en 2017, Google (Pixel et Pixel XL), Samsung, Sony et même Wiko ont manqué entre 0 et 1 patch seulement. Ce sont les meilleurs élèves. Viennent ensuite Xiaomi, OnePlus et Nokia, qui ont raté entre 1 et 3 patchs, puis HTC, Huawei, LG et Motorola qui en ont manqué entre 3 et 4. Enfin, TCL et ZTE arrivent bons derniers avec plus de 4 patchs passés à la trappe.

http://www.cnetfrance.fr/i/edit/2018/04/brands-table.jpg 

Dans les pires cas observés, les constructeurs cacheraient délibérément l’absence des derniers correctifs en date sur leurs machines, affirme Karsten Nohl, également cofondateur d’SRL. D’autres changeraient la date de dernière mise à jour « à des fins marketing sans doute », ajoute-t-il. Pour certaines grandes marques, auxquelles il ne manque que quelques correctifs, il s’agirait cependant de simples oublis.

Il semblerait par ailleurs qu’un certain nombre de failles n’aient pas été corrigées car elles concernaient les processeurs des machines, et que les constructeurs étaient donc dépendants de leurs fournisseurs. Cela pourrait expliquer la différence entre les résultats de Samsung par exemple, qui fabrique ses propres SoC, et les plus petites marques, qui emploient des CPU souvent plus bas de gamme et moins bien entretenus, comme ceux de la société Mediatek.

http://www.cnetfrance.fr/i/edit/2018/04/cpu-table.jpg 

Dois-je jeter mon téléphone Android par la fenêtre ?

Contactés par nos confrères de Wired, Google indique apprécier le travail de SRL mais tient à préciser que tous les téléphones analysés dans cette étude ne sont pas certifiés Android, ils ne répondent donc pas forcément aux standards de sécurité de Google (comprenez : nous ne sommes pas responsables!). Ensuite, d’autres raisons tout à fait légitimes peuvent expliquer l’absence de patchs selon le géant, les constructeurs peuvent par exemple avoir supprimé complètement une fonctionnalité vulnérable. Plus besoin de patch dans ce cas.

En outre, les correctifs ne sont « qu’une couche de protection d’Android parmi beaucoup d’autres », d’après Google, rejoint par SRL qui explique que même si certains correctifs manquent à l’appel, les failles restent difficiles à exploiter. Il faut généralement une série de vulnérabilités bien précises pour cela, pas un seul petit patch manqué. Pas de panique donc, même si ces négligences sont clairement des facteurs de fragilisation de l’OS qu’il ne faut pas prendre à la légère.

  • Notez que SRL propose une application mobile pour savoir précisément quelles patchs manquent sur votre smartphone. Si ça vous intéresse, c’est 
    Vous n'êtes pas autorisé à voir ce contenu caché

Partager ce message


Lien à poster

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×