Le nouveau bulletin de sécurité pour Android a été mis en ligne le 1er mars par Google, pour présenter le contenu du prochain correctif qui sera déployé dans les smartphones d’ici quelques semaines. À l’image de l’édition précédente, le patch qui sera bientôt mis à disposition du public ne traite que de vulnérabilités jugées « sérieuses » ou « critiques ». Le bulletin en dénombre 37 en tout.
Un correctif qui concerne les quatre dernières versions d’Android
Si vous avez un téléphone équipé d’une version d’Android datant d’au moins de 2018, vous recevrez normalement d’ici peu le correctif. Google prend encore en charge la sécurité des quatre dernières grandes générations du système d’exploitation mobile, à savoir Android Oreo (en version 8.1) sortie le 5 décembre 2017, Pie (arrivée le 6 août 2018), 10 (3 septembre 2019) et 11 (8 septembre 2020).
L’évaluation des différentes vulnérabilités par Google lui fait dire que le plus grave de ces problèmes est une faille de sécurité critique dans le composant Système, qui pourrait permettre à un attaquant situé à distance et utilisant une transmission spécialement conçue d’exécuter du code malveillant. Mais pour avoir l’impact attendu, il lui faudrait avoir des privilèges spéciaux dans l’O.S.
« L’évaluation de la gravité est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et des services soient désactivées à des fins de développement ou si elles sont contournées avec succès », nuance toutefois Google. L’entreprise ne fait pas état d’une exploitation en cours de l’une de ses brèches, ce qui est bon signe.
Plusieurs autres compartiments d’Android sont concernés par le patch de mars, comme l’environnement d’exécution Runtime, le Wi-Fi, le framework multimédia, le noyau de l’OS (dont Google va prendre davantage soin, via la fondation Linux) et des composants venant de tiers, comme l’équipementier américain Qualcomm — surtout de Qualcomm en réalité, car il est le seul cité dans cette édition mensuelle.
La gravité d’une faille de sécurité se calcule selon un barème, le score CVSS. Ce barème permet d’objectiver la dangerosité de la brèche en observant les prérequis et les contraintes pour l’exploiter, mais aussi les conséquences qu’elle peut entraîner sur le smartphone (ou un PC) de la victime. Ce n’est pas la même chose si on peut attaquer à distance ou s’il faut avoir un accès physique au terminal, par exemple.
L’arrivée du patch s’étalera sur quelques semaines, selon le constructeur et le modèle du smartphone.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !