Il a quelques jours, une société de sécurité avertissait qu’une importante faille de sécurité dans Android pouvait permettre l’infection non détectable de 99 % des applications. On sait maintenant que Google a colmaté cette brèche et a envoyé les données aux constructeurs. À eux désormais de diffuser le patch de sécurité.
Le HTC One S
99 % des appareils potentiellement touchés
Il y a une semaine, la société Bluebox Security avertissait la communauté des utilisateurs Android d’une importante faille de sécurité. Touchant toutes les versions du système mobile de Google depuis la 1.6 au minimum, elle concernait selon Bluebox Security 99 % des appareils. De fait se posait un évident problème lors de la mise à jour qui ne manquerait pas d’arriver puisqu’un grand nombre de ces appareils ne sont plus supportés depuis bien longtemps.
La faille décrite est importante. Elle réside dans la manière dont les applications Android sont d’abord vérifiées, puis installées. Chacune est accompagnée d’une clé de chiffrement qui permet de vérifier l’intégrité des données. La brèche permet justement de pouvoir modifier le contenu d’application sans que cette clé soit affectée. En clair, même si une application authentique était modifiée pour devenir frelatée, Android ne verrait plus la différence.
Le problème était déjà sérieux avec des applications courantes telles que Facebook, Twitter, Instagram ou des jeux comme Angry Birds, mais il devenait plus grave avec certaines autres que les constructeurs livrent avec leurs smartphones. Ces applications maison sont souvent accompagnées de privilèges élevés destinés à leur permettre de gérer un matériel particulier. On pensera notamment aux modèles HTC intégrant la technologie audio Beats.
La faille corrigée, quid de son application concrète ?
Google était visiblement conscient de cette faille puisque la firme a annoncé qu’elle était désormais corrigée. Dans une déclaration faite à ZDnet, l’entreprise indique que le correctif a déjà été envoyé aux constructeurs. Certains, à l’instar de Samsung, ont déjà commencé à le déployer, mais les modèles concernés ne sont pas encore connus.
Car la grande question qui se pose désormais est de savoir quel pourcentage des appareils va être mis à jour. Ces quatre dernières années, ce sont des montagnes de périphériques Android qui se sont vendus et les smartphones ont été depuis rejoints par les tablettes. Selon Bluebox Security, ce ne sont pas moins de 900 millions d’appareils qui seraient ainsi touchés par la faille. Cependant, puisqu’il est encore possible de voir des appareils Android 4.1 déjà abandonnés par leur constructeur, tels que le One S de HTC qui n’aura pas de mise à jour vers la version 4.2 du système alors même qu’il n’est sorti que l’année dernière. Que dire alors de la masse importante d’appareils Android 2.3, sans parler des moutures précédentes ?
Nous avons de notre côté contacté certains gros constructeurs tels que Samsung, Sony, HTC ou encore LG pour avoir plus d’informations sur cette mise à jour. Nous espérons notamment obtenir une liste précise des appareils qui seront concernés. Dans l’éventualité d’un modèle qui ne serait pas mis à jour, la meilleure défense sera de faire attention aux sources tierces pour l’installation des logiciels, notamment les boutiques promettant monts et merveilles... ce qui devrait de toute façon être une règle de base.
