Google a tenu à préciser la raison pour laquelle les développeurs ont pris le parti de ne plus corriger les failles au sein des anciennes versions de WebView affectant pourtant plusieurs centaines de millions d'utilisateurs d'Android.
Un peu plus tôt ce mois-ci, nous apprenions que l'équipe chargée de veiller à la sécurité d'Android avait décidé de ne pas déployer de correctif pour une faille repérée au sein d'Android 4.3 Jelly Bean. Celle-ci affecte le composant WebView permettant d'afficher le contenu Web. Ce moteur de rendu a été revu et articulé sur Chromium à partir d'Android 4.4, mais reste encore utilisé sur les éditions précédentes de l'OS mobile.
Interrogé par le cabinet de sécurité Rapid7, Google expliquait : « Si la version de WebView affectée date d'avant 4.4, nous ne développons généralement pas de patchs nous-mêmes mais nous informons nos partenaires du problème. ». Selon les chiffres officiellement partagés par Google, on estime à plus de 900 millions le nombre de terminaux dont la prise en charge de WebView a été stoppée et qui sont donc potentiellement vulnérables sans disposer officiellement de correctif.
Adrian Ludwig, de l'équipe d'Android Security, rappelle que Google met des correctifs à disposition pour les deux dernières versions majeures d'Android (Android 4.4 et 5.0) au sein du projet open source (AOSP) et en les déployant directement auprès de ses partenaires.
Il ajoute que jusqu'à récemment, Google assurait la rétro-compatibilité du moteur de rendu WebKit utilisé au sein de WebView sur Android 4.3 et versions précédentes. « Mais à lui seul WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de changements chaque mois », affirme M.Ludwig. Pour les développeurs de Google, le déploiement de correctifs sur une version de WebKit datant de plus de deux ans se traduisait parfois par la modification d'une grosse portion de code ; une pratique jugée de moins en moins sécurisée.
L'homme conseille de paramétrer un navigateur par défaut mis a jour régulièrement et ne faisant pas usage de WebView (Chrome, Opera, Firefox...) et de limiter l'usage de WebView à des applications de confiance, c'est-à-dire en se contentant de celles disponibles sur Google Play.
Smartphone Android : découvrez des offres à bas prix sur notre comparateur de prix !
Retour en vidéo sur Android 5.0 Lollipop
Guillaume Belfiore
Lead Software Chronicler
Lead Software Chronicler
Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic.
Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles...
Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic.
Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles des navigateurs web, aux nouveaux smartphones mais aussi aux systèmes d'exploitation, aux questions de sécurité ou à l'actualité e-business en général.
Sinon je dois avouer que j'ai un faible pour tout ce qui touche au web design et c'est généralement le code source d'une page web que je lis en premier.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
