C’est assurément l’un des bulletins de sécurité dédiés à Android les plus modestes depuis le début de l’année. Mardi 8 octobre, Google a présenté la liste des vulnérabilités qui bénéficient d’une correction avec la nouvelle mise à jour mensuelle de son système d’exploitation mobile. En tout, 29 failles sont traitées. C’est une de plus par rapport à janvier, et sept par rapport à juin.
Fondamentalement, le bulletin émis ce mois-ci par Google n’est pas différent des autres qui ont été rendus publics : la firme de Mountain View n’a pas connaissance d’un usage malveillant de l’une de ces brèches. Elle rappelle également que ses partenaires ont été avertis au moins un mois avant la parution de ce compte-rendu, afin qu’ils aient assez de temps pour colmater les brèches.
Des correctifs pour Android 10
Dans le détail, Google liste deux bugs modérés (qui ont la particularité de ne concerner que Android 10 — AOSP 10), seize défauts de conception graves et onze failles critiques. Outre Android 10, la totalité des dernières branches du système d’exploitation est concernée : Nougat (7.x), Oreo (8.x) et Nougat (9.x). Android 10 est également concerné pour une troisième vulnérabilité, jugée sérieuse cette fois.
- À lire aussi : où en est la fragmentation d’Android ?
Il est également à noter que la majorité des soucis relevés concerne des composants fournis par Qualcomm (18).
Pour déterminer la gravité d’une faille, Google évalue « l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté », s’il n’existe aucune mesure d’atténuation ou si elles ont été désactivées ou contournées. Dans la hiérarchisation de la dangerosité des failles, le rang critique est le plus élevé. Viennent ensuite les seuils haut et modéré.
Ces défauts de conception logicielle, s’ils sont exploités, peuvent provoquer différents incidents : un pirate peut bénéficier d’une élévation injustifiée de privilèges, ce qui lui permet alors d’accéder à des sections sensibles du système d’exploitation, qui sont normalement inaccessibles. L’assaillant peut aussi prendre le contrôle du smartphone à distance, entraver son bon fonctionnement ou bien récupérer des données personnelles à l’insu du mobinaute.
Dans ces conditions, on comprend aisément pourquoi l’importance des mises à jour — en plus, octobre est le mois dédié à la cybersécurité ! –. Malheureusement, dans le monde des smartphones, les mobinautes n’ont pas d’autre choix que d’attendre que les constructeurs se remuent pour pousser les derniers correctifs de sécurité. S’il y a bien sûr des fabricants exemplaires, il y a aussi des cancres de la sécurité.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !