Les mois passent, les bulletins de sécurité de Google pour Android se succèdent. Mais une fois n’est pas coutume, l’avis émis par la firme de Mountain View pour le mois de juillet 2020 se démarque des précédents par l’absence de vulnérabilité modérée dans la liste des bugs — il n’y a en effet que des brèches sérieuses ou critiques dans la fiche mensuelle que le public peut consulter.
Dans le détail, Google mentionne 24 défaillances : 17 sont classées au rang « haut » et les 7 dernières sont de gravité « critique ». Il s’agit des deux niveaux les plus élevés qu’utilise la société américaine pour qualifier le degré de dangerosité d’une brèche. Le stade le moins problématique concerne les menaces modérées. La dernière fois qu’un bulletin n’en incluait aucune, c’était en septembre 2019.
Si une telle absence n’est pas exceptionnelle, elle n’est pas pour autant courante. Depuis que Google propose des bulletins de sécurité mensuels, que l’on peut consulter à loisir dans ses archives, on trouve cette mention dans tous les avis de 2015 et 2016, mais aussi dans la majorité de ceux émis en 2017 et 2019. 2018 fait figure d’exception, avec sept bulletins mensuels qui n’en contenaient pas non plus.
Des failles qui viennent souvent d’équipementiers
Cette observation ne préjuge pas de la qualité apportée à la sécurisation d’Android : c’est le reflet des aléas du développement d’un système d’exploitation très complexe, qui dialogue avec d’autres composants et logiciels, dont certains sont en outre fournis par des tiers. Il n’est pas rare que nombre de problèmes concernent des éléments fournis par des équipementiers comme Qualcomm et MediaTek.
D’ailleurs, la moisson de juillet 2020 ne déroge pas à cette règle : sur les 24 failles listées, 12 concernent Qualcomm et MediaTek. Ce n’est certes pas absolument absurde : l’un et l’autre sont des fournisseurs importants du marché des smartphones. Qualcomm, par exemple, arrose le marché avec des processeurs (la gamme Snapdragon est d’ailleurs très réputée), de modems pour la 3G, la 4G, la 5G, le Bluetooth ou le Wi-Fi.
Par ailleurs, l’estimation du degré de dangerosité d’une brèche ne se fait pas au doigt mouillé. Elle mobilise un référentiel et des critères d’évaluation : la faille requiert-elle par exemple un accès physique au terminal de la cible ? Peut-on au contraire l’exploiter à distance, via Internet ? Faut-il au préalable que la victime exécute une action précise ? Quid d’éventuelles mesures d’atténuation ?
Pour cette édition, ce sont les branches 8 à 10 d’Android qui sont concernées et donc par ricochet toutes les marques qui proposent des smartphones avec ces versions. On trouve aussi des vulnérabilités liées aux firmwares de Qualcomm, à la liaison sans fil en Wi-Fi ou encore au noyau de l’OS. La disponibilité du patch se fera progressivement, en fonction du calendrier de mise à jour de chaque constructeur.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !