Avec la régularité d’un métronome, Google a partagé début avril le nouveau bulletin de sécurité mensuel pour Android. L’entreprise américaine y présente les multiples vulnérabilités identifiées dernièrement dans son système d’exploitation mobile et qui seront corrigées avec la sortie prochaine d’un patch ad hoc. 36 failles en tout seront traitées avec cette mise à jour.
Les personnes utilisant un smartphone Android doivent se tenir prêtes à télécharger et installer le patch dès qu’il sera disponible. En effet, les vulnérabilités traitées ce mois-ci par Google concernent toutes les dernières versions de l’O.S. mobile, c’est-à-dire Android 8.1 (sortie fin 2017), 9 (arrivée en août 2018), 10 (lancée septembre 2019) et 11 (déployée à partir de septembre 2020).
36 failles, toutes jugées sérieuses ou critiques
La publication du bulletin de sécurité étant très récente, et dans la mesure où le patch n’est pas encore massivement diffusé auprès des terminaux Android, le détail des vulnérabilités — 34 sont jugées sérieuses, 2 sont critiques — n’est pas donné, de façon à éviter de donner des indications à des tiers malveillants. Cette documentation sera éventuellement fournie plus tard, une fois le risque suffisamment atténué.
Concernant la vulnérabilité la plus grave, Google la décrit dans des termes relativement vagues : elle se situe dans le composant Système et, en cas d’exploitation à distance par un tiers malveillant, celui-ci pourrait exécuter un programme nuisible, en profitant d’un accès privilégié aux réglages d’Android. Cette faille spécifique affecte les versions 10 et 11 d’Android, c’est-à-dire les deux plus récentes.
Le composant Système n’est d’ailleurs pas affecté par une seule faille : sept autres sont listées au mois d’avril. Ce composant est d’ailleurs régulièrement patché par la firme de Mountain View. Le bulletin mentionne aussi des soucis dans divers compartiments de l’OS, dont le noyau, ainsi que dans des composants fournis par les équipementiers MediaTek et Qualcomm. Tous reçoivent aussi régulièrement des mises à jour.
Google n’évalue pas la gravité des vulnérabilités au doigt mouillé. Il se sert pour cela d’un barème objectif, le score CVSS. Il se calcule en tenant compte de différents critères. Par exemple, l’assaillant doit-il avec un accès physique au smartphone ou peut-il intervenir à distance ? Dans le premier cas, l’attaque informatique est beaucoup plus difficile à mettre en œuvre.
Cette évaluation suppose également qu’aucune contre-mesure dans Android ne permette d’atténuer ou de contrer l’incident, soit parce que ces barrières ont été abaissées, soit parce qu’elles ont été contournées. Le bulletin n’évoquant ni la découverte ni l’utilisation active d’une de ces brèches, c’est a priori une bonne nouvelle : cela laisse entendre qu’elles seront corrigées avant même qu’elles aient posé problème.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.