Google et Samsung ont annoncé tous deux que les mises à jour de sécurité allaient désormais être diffusées sur une base mensuelle, la première s'occupant de boucher la faille Stagefright. Bien que tous les smartphones et tablettes ne soient évidemment pas concernés, il s’agit d’une annonce que beaucoup attendaient.
La récente faille Stagefright a relancé un débat dont les cendres n’ont jamais le temps de s’éteindre : la sécurité d’Android. La question n’est pas tant le nombre de failles (des brèches seront toujours découvertes) que leur correction effective. Il existe en effet un sérieux problème dans la sphère Android puisque les constructeurs assurent eux-mêmes le déploiement des patchs, sans parler des mises à jour plus importantes. Devant la dangerosité de cette faille, beaucoup se demandaient donc qui exactement allait recevoir le correctif et ce qui se passerait pour les appareils un peu plus anciens (près de 82 % des terminaux ne sont pas sous Android 5.x).
Nexus de Google : trois ans de correctifs de sécurité
Google et Samsung viennent justement d’annoncer une importante décision qui répond en partie à cette interrogation. Les mises à jour de sécurité seront ainsi distribuées sur une base mensuelle. Un processus régulier qui rappelle clairement celui de Microsoft avec les fameux Patch Tuesdays (les correctifs sont diffusés le deuxième mardi de chaque mois), mais il faut savoir que Google émet déjà ses bulletins sur une telle base. Ce qui va changer, c’est bien la distribution puisque les utilisateurs auront réellement des mises à jour à installer.
L’annonce de Google est beaucoup plus précise que celle de Samsung. Les Nexus 4, 5, 6, 7, 9, 10 et Player sont ainsi pris dans la boucle. La firme en profite d’ailleurs pour préciser certaines données temporelles : chaque appareil reçoit des mises à jour majeures pendant deux ans et des correctifs de sécurité pendant trois ans ou 18 mois après l’arrêt de la vente sur le Google Store.
L'éditeur précise en outre que le premier correctif est déployé depuis hier soir, et qu'il corrige l'ensemble des failles contenues dans le bulletin de sécurité de juillet, dont évidemment celle sur la bibliothèque Stagefright. Les correctifs ont également été intégrés hier dans l'Android Open Source Project (AOSP). Notez enfin que ceux qui ne veulent pas attendre le déploiement pourront récupérer l'image ISO pour leur appareil Nexus depuis le site de Google dédié aux développeurs. Tous ne sont pas encore concernés et il faudra repérer la version « LMY48I » d'Android 5.1.1. Attention tout de même, sa mise en place effacera vos données.
Samsung suit le mouvement, mais ne donne pas de détails
Du côté de Samsung, le langage est le même, mais peu d’informations concrètes sont indiquées. On sait donc que le rythme mensuel est bien là, mais pas les modèles concernés ni la période de support envisagée. Dong Jin Koh, responsable de la division recherche et développement mobile, a cependant confirmé indirectement que la faille Stagefright avait bien joué un rôle : « Avec ces récents problèmes de sécurité, nous avons repensé la diffusion des correctifs de sécurité sur nos appareils pour la rendre plus rapide. Puisque le logiciel est constamment détourné de nouvelles manières, développer un processus rapide pour distribuer des correctifs de sécurité est critique pour garder nos appareils protégés. Nous pensons que ce processus améliorera grandement la sécurité […] ».
Ce qui pose immanquablement la question des opérateurs de téléphonie, qui interviennent également dans la diffusion des mises à jour. Le constructeur aborde justement ce point et annonce qu’il « est actuellement en discussion avec les opérateurs à travers le monde pour intégrer cette nouvelle approche ». Et de préciser qu’une autre annonce aura lieu pour détailler les modèles concernés et la durée des périodes envisagées.
Ce qui n'empêche pas la mise à jour de sécurité pour Stagefright de commencer à être déployée pour les Galaxy S5, S6, S6 Edge et Note Edge (notamment chez Sprint). Plusieurs opérateurs aux États-Unis et au Canada en ont commencé la distribution et le reste devrait suivre rapidement. Comme d'habitude, n'hésitez pas à nous faire part dans nos commentaires de vos constats.
Il aura fallu du temps et bien des failles
Il semble clair cependant qu’il ne faut pas espérer remonter trop loin dans le passé pour trouver les modèles concernés. La politique de mise à jour des appareils Android a été jusqu’à présent de rester sur une période de support de 18 mois, ce qui n’est clairement pas assez dans le cadre de la sécurité. Difficile d’imaginer que des appareils n’étant pas allés plus loin que la mouture 4.0 ou 4.1 du système puissent recevoir le fameux correctif, alors que la faille Stagefright touche tous les appareils ayant au moins Android 2.2.
En outre, même si cette annonce conjointe est particulièrement importante, on rappelle que Google et Samsung ne sont pas les deux seuls fournisseurs d’appareils Android, loin de là. On attend donc que ce virage dans la politique de support fasse tache d’huile et soit répercutée par HTC, Sony, Motorola, LG et les autres.
En attendant, Zimperium (qui avait découvert la brèche) propose depuis hier une application permettant de vérifier si votre terminal est sensible aux différents scénarios d'attaque sur Stagefright, mais ne pourra en aucun cas régler le problème.