Votre smartphone Android est vulnérable, et pour Google c'est la faute des constructeurs

Nathan Le Gohlisse
Spécialiste Hardware
31 juillet 2023 à 16h15
22
© Midjourney pour Clubic.com
© Midjourney pour Clubic.com

Dans le cadre d'un rapport annuel portant sur la sécurité d'Android, Google dénonce le délai beaucoup trop important observé entre la publication d'un patch de sécurité majeur… et son déploiement effectif sur le parc de smartphones éligibles.

L'écart entre la publication, par Google, de correctifs pour des failles de sécurité « 0-day » (parmi les plus graves), et leur déploiement effectif par les constructeurs de smartphones Android est trop long. C'est ce que pointe une nouvelle fois Google dans un rapport annuel publié le 27 juillet dernier. Une lacune dont Android souffre maintenant depuis des années.

La faute aux constructeurs ?

Dans son rapport, Google déplore notamment une « série de cas où le fournisseur [Google] en amont avait publié un correctif pour le problème, mais où le fabricant en aval n'avait pas pris le correctif et ne l'avait pas publié pour que les utilisateurs puissent l'appliquer ». Un problème de délais « plus fréquents et plus longs » qui concernerait bien plus Android que les autres plateformes, explique Google.

« Ces écarts (….) permettent aux n-days (vulnérabilités connues du public) de fonctionner comme des 0-days parce qu'aucun correctif n'est disponible pour l'utilisateur et que son seul moyen de défense est de cesser d'utiliser l'appareil », poursuit la firme.

© Thaspol Sangsee / Shutterstock.com
© Thaspol Sangsee / Shutterstock.com

Google exhorte… une nouvelle fois

Google donne notamment deux exemples, très probants. Le premier concerne la faille découverte sur les GPU ARM Mali (utilisés par de très nombreux smartphones). Cette dernière n'a été comblée sur Android qu'en avril 2023, soit 6 mois après la sortie du patch initial (développé par ARM), 9 mois après la découverte de la faille en elle-même et 5 mois après qu'elle a commencé à être exploitée activement par des pirates.

Autre exemple, celui de la vulnérabilité découverte dans le navigateur par défaut de Samsung. Cette faille était due, au moins en partie, à l'utilisation par ce navigateur d'une version de Chromium vieille de 7 mois.

Google appelle donc l'industrie à faire mieux. Rappelant aux différents acteurs du marché qu'ils « doivent faire parvenir rapidement les correctifs et les mesures d'atténuation aux utilisateurs afin qu'ils puissent se protéger ». Reste que ces différents acteurs n'ont visiblement pas tous la même définition du mot « rapidement ».

Source : 9to5Google

Nathan Le Gohlisse

Nathan Le Gohlisse

Spécialiste Hardware

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, i...

Lire d'autres articles

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (22)

Azael
Je n’aime pas la politique d’Apple, mais sur ce point, Apple a un bel avantage.<br /> Si Google faisait comme Microsoft, être indépendant du hardware on n’aurait pas se problème. Et si les constructeurs ne sortaient pas un nouveau tel tous les 6 mois, les maj seraient plus rapides. Et si … je vais m’arrêter là
zeebix
Politique de l’autruche Google depuis quelques années déjà. c’est sans doute pas leur faute non plus les applications vérolé sur le store etc…<br /> Tout n’est pas rose chez Apple mais sur ce point, ils s’en sortent nettement mieux.
wackyseb
Je suis d’accord avec @Azael, les téléphones ont maintenant assez de mémoire interne pour que Google face un OS Standard comme Windows ou Linux et que chacun y injecte ses drivers spécifiques si pas déjà dans le package de base.<br /> Les utilisateurs auraient de ce fait un OS à jour niveau sécurité mais également les versions majeures potentiellement débloquées plus vite.<br /> En plus les constructeurs se prendraient moins la tête à développer du specifique pour chaque téléphone.<br /> Et c’est quand même du Linux sous Android avec un kernel Linux juste parametré de façon spécifique et où des drivers sont injectés à la compilation
jvachez
Non c’est de la faute à Google si l’OS est mal conçu. Ce n’est pas parce que ça tourne sur un téléphone qui faut faire une mécanique différente d’un PC.<br /> Si Google avait fait comme Windows ou Linux sur PC on n’en serait pas là, il ne faut pas que les constructeurs aient à intervenir, tout doit se faire de façon centralisée comme avec Windows Update. Il faut une sorte de setup.exe mobile universel.<br /> Le but des constructeurs Google compris d’ailleurs c’est de vendre il ne suivront donc jamais suffisamment les mises à jour sur des modèles plus commercialisés qui ne rapportent plus rien.
Bidouille
Effectivement, possesseur d’un Redmi Note 10, si je consulte les mises à jour de mon téléphone, la dernière mise à jour de sécurité date de février 2021 sous android 11. Depuis, c’est silence radio. J’ai pourtant souvent vu que mon téléphone était compatible avec Android 12 minimum. Mais aucune proposition de mise à jour.<br /> Mais il est plus intéressant pour les constructeurs de proposer de nouveaux modèles.
Caramel34
En effet, la sortie de Android sur les chapeaux de roues après l’annonce de l’iPhone à poussé Google à ouvrir des portes pour les fabricants, les attirer si je puis dire.<br /> Du coup chacun y est allé de sa sauce, il en résulte un véritable cafarnaum.<br /> Revenir en arrière est faisable, pour Android 15 par exemple, un OS pour tous. Il est tout à fait possible de faire tourner n’importe quel smartphone avec le même OS et des drivers génériques, comme sous Linux, ensuite aux fabriquants de développer les drivers spécifiques.<br /> Mais est ce la volonté de Google ? Des fabriquants ?
wedgantilles
C’est un peu facile de dire à Google de faire le boulot, il faut pas oublié que l’OS est conçu par Google et qu’ensuite les fabriquant utilise l’AOSP (Android Open Source Project), à partir de ce moment ce n’est plus le même OS que celui de Google, et dès ce moment là Google ne peu plus mettre à jour l’OS.<br /> C’est là la différence avec Windows qui n’est pas open source qui du coup est bien mis à jour car l’OS n’est pas modifié.<br /> L’exemple du navigateur sur Samsung est le parfait exemple du même problème, Samsung utilise Chromium, puis ne fais plus de mise à jour et laisse les utilisateurs avec des failles de sécurité, même problème que pour l’OS les mise à jour sont là seulement les constructeurs s’en fiche royalement.
MattS32
Google a quand même sa part de responsabilité, car il a des moyens de pression sur la plupart des constructeurs pour les « forcer » à mieux suivre les mises à jour.<br /> Certes, il ne peut pas mettre à jour lui même l’OS compilé par le constructeur à partir de la base open source, mais il pourrait par exemple bloquer l’exécution des Play Service sur les appareils affectés par une faille de sécurité pour laquelle il existe un correctif depuis un certain temps. Il pourrait aussi menacer les constructeurs de leur refuser l’installation des applications Google (qui ne sont pas open source et nécessitent bien une licence auprès de Google) s’ils ne sont pas suffisamment bon élèves sur les mises à jour de sécurité.<br /> Et ils pourraient aussi donner un peu plus l’exemple, en assurant le support de sécurité plus longtemps sur les Pixel, ce qui créerait une pression commerciale supplémentaire sur les constructeurs.
max6
Google propose aux fabricant un OS et leur permet de le recompiler avec de drivers spécifiques et propriétaires dans le noyau et nous acceptons de nous en servir.<br /> Alphabet n’a jamais été un société philanthropique et elle se sert d’un noyau libre de droit avec les fabricants pour en faire un gigantesque business qui leur rapporte à tous une fortune.<br /> On peut discuter tant qu’on veut mais tant que des lois n’imposeront pas de fournir les codes sources des pilotes logiciels rien ne changera, l’industrie ne connait que le profit et la punition, encore faut-il qu’elle soit supérieure au profit et pour cela ils sont prêt à détruire la planète s’il le faut.
Loposo
j’utilise le browser samsung et il y a les mises a jours .<br /> Apres samsung il me semble c’est 4 ans de mise a jours d’os et securité, il me semble que nokia souhaite faire ca aussi.<br /> Mais les marques chinoises pour en avoir, c’est pas terrible à ce niveau, smartphone moins cher mais os moins bien fini, support court.
tfpsly
wackyseb:<br /> les téléphones ont maintenant assez de mémoire interne pour que Google face un OS Standard comme Windows ou Linux et que chacun y injecte ses drivers spécifiques si pas déjà dans le package de base.<br /> C’est déjà le cas. Et le problème est bien les drivers : pas mal de constructeurs de puces (comme Qualcomm et co) ne distribuent pas les sources de leurs drivers, seulement des versions binaires pré-compilées pour une version particulière du kernel Linux.<br /> Si ni Google ni les constructeurs ni les distributeurs n’ont ces sources, ils ne peuvent mettre à jour le kernel, la partie principale de l’OS.<br /> C’est le même problème qu’ont les développeurs et porteurs de ROMs alternatives comme LineageOs : sans sources des drivers, ils sont obligés de conserver un ancien kernel et d’essayer de faire tourrner un OS mis à jour autour.<br /> EDIT - exemple sur HackerNews :<br /> but don’t lure people too much into a false sense of security. While your Nexus 6 may run a shiny new version of Android, underneath it runs a crusty old 2017 kernel full of holes of different sizes. The community is great, but vendor support remains important. LineageOS and other projects can’t fix things in kernels they can’t compile - they can only provide security updates for open source components.<br /> Il y a les téls Android One qui sont intéressants sur ce point : ces téléphones utilisaient des ROMs complètement compilées par Google, drivers inclus. Donc facile à mettre à jour.
kroman
Pourquoi Windows et Linux peuvent être mis à jour n’importe quand sur n’importe quel matériel et pas les téléphones?<br /> Il faut que Google change la licence d’utilisation de ses services pour forcer les fabricants à accepter l’installation de màj venant directement de ses serveurs. Ou que la justice le fasse !
tfpsly
kroman:<br /> mis à jour n’importe quand sur n’importe quel matériel et pas les téléphones?<br /> La réponse est dans le message juste au dessus du tient
max6
Parce que les industriels ont cré des drivers propriétaire protégés par des brevets qui empêchent toute évolution. Comme cela ils peuvent vous obliger à changer un smartphone simplement en ne le mettant plus à jour puisqu’il est impossible de remplacer l’OS sous procès alors que pour les PC les drivers sont disponibles depuis le début et je pense qu’ils savent que s’ils les ferment personne ne va leur acheter leur daube.
wackyseb
Oui ça me fait toujours sourire (nerveusement) de voir de vieux kernel sur des téléphones très récent.<br /> C’est vraiment nul car entre failles de sécurité et manque d’optimisation dû au besoin d’ajout de drivers alors que la dernière version du kernel ambarque certainement tout ou presque.<br /> Au moins avec Apple, on est toujours à jour sur l’OS et quand il n’y plis possibilité de mettre le nouvel iOS ou iPadOS …. Il reste quand même les patchs de sécurité qui durent très longtemps après. Et ça c’est cool.
Caramel34
Pareil sous Windows, les drivers génériques font le job en attendant que l’utilisateur installe les drivers spécifiques.<br /> Apple=1 OS, PC=1 OS, Android=1 OS par appereil.
Alexsud
C’est pour celà que pour ceux qui souhaitent Android c’est de prendre en priorité un Pixel qui reçoit lez maj en premier, ensuite Samsung haute gamme Niveau Tarifs/qualité /Maj c’est Pixel le meilleur.
brice_wernet
Autant je ne suis pas fan de Android qui assume de vieux choix complètement inadaptés, autant il n’y a pas que l’OS et google en cause.<br /> Oui, le fait que les pilotes fassent partie de l’OS comme Linux et un problème. Mais si les failles au niveau pilote/OS sont plus graves, les failles au niveau appli sont plus nombreuses.<br /> Un faille dans le navigateur de Samsung n’est pas du ressort de google. Chromium était patché, et Samsung a mis le navigateur dans l’image du tel. De plus, Android permet des stores annexes, qui ont des versions moins patchées ou un sérieux discutable dans leur gestion.<br /> Ajoutons les constructeurs (Samsung, encore) qui perdent leur clés de chiffrement et laissent des pirates les utiliser pendant des mois avant de réagir…<br /> Et d’un autre côté: j’utilise toujours une tablette NVIdia de 2015 sous Androïd 7 (la grande soeur de la switch). A-t’elle un vieux kernel? Oui. Est-ce qu’elle rame avec Chrome actuel? Oui. A-t’elle besoin d’un pilote Wifi corrigé? Oui. Est-elle un risque: peut-être, mais il est modéré: les services google reçoivent toujours les mises à jour, les applis sont à jour Play store a un play protect à jour…<br /> Est-ce que j’ai été confronté à une baisse de fonctionnalité en 8 ans? Non.<br /> Est-ce que Google m’a lâché et que ma tablette est à haut risque de sécurité? Non.<br /> Est-ce que NVidia m’a lâché? Oui … (mais sous pression de big N) (et NVidia a fournit le SDK pour recompiler une image)
brice_wernet
Justement, c’est du Linux, donc même punition que Linux: pour mettr à jour les pilotes, il faut mette à jour le kernel, ou alors il faut dans le kernel une « porte d’entrée » pour accéder au hardware.<br /> Entre l’ouverture que ça demande de la part des constructeurs et la confiance limitée dans le temps qu’on peut leur accorder pour maintenir du soft (norme tas de failles passées dans les outils de maintenance HP, Dell, Lenovo, Asus, Sony, Samsung…), ce n’est pas jouable.
JeXxx
Ce n’est pas totalement vrai, Google c’est 3 ans de mise à jour système et de mise à jour de sécurité alors que Samsung c’est 4 ans de mise à jour système (pour le haut de gamme) et 5 ans de mise à jour de sécurité (pour le haut de gamme autrement c’est 4 ans).<br /> Tout Sur Google – 28 May 23<br /> Combien de temps dure une mise à jour pour son smartphone Android<br /> Combien de temps dure une mise à jour Android ? Découvrez tout ce que vous devez savoir et ce que promettent les grandes marques.<br />
Fluter
Depuis Pixel 6 c’est passé à 5 ans les MAJs de sécurités, à partir de la date de commercialisation.
JeXxx
Mais 3 ans d’Android c’est un comble
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Un NAS fonctionnel à 35 dollars à partir d'un Raspberry ? Si, si, c'est possible ! Un NAS fonctionnel à 35 dollars à partir d'un Raspberry ? Si, si, c'est possible !
Porno : faudra-t-il bientôt prouver le consentement des acteurs et actrices ? xHamster dans la tourmente aux Pays-Bas Porno : faudra-t-il bientôt prouver le consentement des acteurs et actrices ? xHamster dans la tourmente aux Pays-Bas
Belle baisse de prix pour ce SSD M.2 de 480 Go Belle baisse de prix pour ce SSD M.2 de 480 Go
Aide à la réparation : vous ne saviez pas qu'elle existait ? Elle double ! Aide à la réparation : vous ne saviez pas qu'elle existait ? Elle double !
Voici comment obtenir GRATUITEMENT Amazon Music pendant Prime Day ! Voici comment obtenir GRATUITEMENT Amazon Music pendant Prime Day !