Google vient de publier dans l'urgence un correctif de sécurité pour une faille critique. Comme toujours en pareille situation, tout le monde ne pourra pas profiter de la mise à jour, dont la distribution dépend du bon vouloir des fabricants.
Depuis l'été dernier, Google publie à chaque début de mois une série de correctifs pour boucher des failles de sécurité qui sont détectées. Une routine mensuelle qui n'est malheureusement accessible qu'à la petite proportion de terminaux fonctionnant sous Android 5.1 ou 6.0 (21,5 % des terminaux). Mais le géant du Net a brisé ce cycle en publiant une mise à jour de sécurité à la fin de la semaine dernière.
Une faille utilisée par des applications de root... mais pas seulement
La société explique que des applications permettant de rooter un smartphone utilisent une brèche afin de profiter d'une élévation des privilèges dans Android. Pour effectuer sa besogne, l'application à tout d'abord besoin d'être installée sur le portable. Afin de limiter la casse, Google explique qu'il a d'ores et déjà bloqué ce genre d'application sur le Play Store, mais également en dehors grâce aux Verify Apps.
Cette faille remonte loin puisqu'elle a été corrigée en avril 2014 sur Linux, mais sans être présentée comme un correctif de sécurité avant le 2 février 2015. Un an plus tard, le 19 février 2016, C0RE Team indique à Google qu'elle concerne également Android. Un patch est alors préparé afin d'être déployé dans la mise à jour de sécurité suivante.
Retournement de situation le 15 mars quand Zimperium précise à Google que cette faille a été exploitée sur un Nexus 5. Le père des Nexus confirme de son côté, mais ajoute qu'il n'a pas observé d'utilisation de la brèche qui mériterait d'être classée comme « malveillante ». Cela ne l'empêche pas de la juger comme critique, car elle permet une escalade des privilèges et l'exécution de code arbitraire. Décision est donc prise de la corriger en dehors du cycle traditionnel.
Un correctif disponible, mais qui pourra réellement en profiter ?
Tous les terminaux exploitant le kernel Linux 3.4, 3.10 et 3.14 sont concernés, ce qui correspond aux versions 4.2 à 5.0 d'Android. Le noyau en version 3.18 (Android 6.0) est épargné et ne nécessite donc aucune action particulière. Dans tous les cas, il est recommandé d'appliquer la mise à jour... si le constructeur la propose.
Comme toujours, c'est en effet le gros problème d'Android : la fragmentation et le suivi des mises à jour. Si Google a bien mis en ligne un patch pour AOSP sur toutes les versions touchées par cette faille, combien de fabricants proposeront le correctif à leurs clients ? Et pour ceux qui feront preuve de bonne volonté, combien feront l'effort de le déployer sur d'anciens terminaux touchés et pas que sur les modèles récents ? À n'en pas douter, assez peu.
