Ça y est : Android 10 est disponible pour le public depuis début septembre. Avec cette version, c’est la fin des noms de dessert que Google attribuait aux générations de son système d’exploitation mobile. C’est aussi le renouveau de l’identité de l’OS, et bien entendu l’arrivée de nouvelles fonctionnalités, comme les réponses intelligentes et la navigation par gestes.
Une chose qui ne change pas en revanche, c’est la traque des failles dans Android. Le 22 août, en amont de la publication d’Android 10, Google sortait un bulletin de sécurité dédié pour le moins fourni : on y dénombre 191 vulnérabilités, quoique leur criticité est jugée modérée (c’est le cran le plus bas de l’échelle qu’utilise Google). Rebelote quelques jours plus tard, avec un bulletin plus général sur Android.
49 failles visées dans le patch de septembre
En tout, ce sont 49 brèches qui sont résolues avec le nouveau correctif. C’est certes presque quatre fois moins que le bulletin spécial émis à la fin du mois de septembre, mais le bilan est plus sérieux : dans le détail, on dénombre 45 failles au niveau haut (le cran d’alerte intermédiaire) et 4 au rang critique (le degré le plus grave). On notera au passage qu’une de chaque concerne Android 10 (AOSP 10).
Selon Google, une partie de ces failles peut entraîner une élévation injustifiée de privilèges, ce qui signifie qu’un tiers à distance est en mesure d’accéder des portions sensibles du système normalement inaccessibles. D’autres bugs peuvent compromettre des données personnelles ou sensibles, permettre de contrôler secrètement le smartphone à distance ou bien entraver son bon fonctionnement.
Google rappelle que « l’évaluation de la gravité [d’une faille] est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plateforme et du service soient désactivées à des fins de développement ou parce qu’elles ont été contournées avec succès », explique Google.
Pas d’exploitation connue à ce jour
D’après les radars de Google, il n’y a aucun signe qui permette de dire que l’une ou l’autre de ces vulnérabilités sont en ce moment exploitées par des tiers malveillants. Cela étant, il est conseillé de mettre à jour son smartphone dès que possible avec le patch de sécurité le plus récent. Évidemment, les mobinautes dépendent comme toujours des constructeurs, qui ont la main sur la sortie des mises à jour.
Google, bien sûr, invite les fabricants de terminaux à faire au plus vite pour proposer à leurs clients le tout dernier niveau de sécurité disponible, ceci afin d’éviter une quelconque utilisation malveillante de ces bugs. Mais en fait, cela pourrait prendre jusqu’à quelques mois, alors même que Google s’efforce d’alerter ses partenaires au moins un mois avant la publication de chaque bulletin de sécurité.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !