Android : Google corrige plus d'une centaine de failles, dont 20 critiques

Android : Google corrige plus d’une centaine de failles, dont 20 critiques

Mettez-vous à jour... si vous le pouvez !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Société numérique

07/07/2016 3 minutes
54

Android : Google corrige plus d'une centaine de failles, dont 20 critiques

Le bulletin de sécurité d'Android du mois de juillet est bien garni, avec plus d'une centaine de failles. Certaines concernent directement Android, alors que d'autres sont liées à des composants précis et ne touchent pas tous les terminaux.

Depuis maintenant presque un an, Google publie des mises à jour mensuelles pour Android afin de corriger des failles de sécurité sur une base prévisible. La fournée de juillet est très conséquente puisqu'il est question de 107 failles, excusez du peu. Autant dire qu'il est recommandé de se mettre à jour rapidement... du moins pour ceux qui le peuvent.

Une centaine de failles, réparties en deux groupes 

Google explique qu'il a divisé son bulletin en deux parties, identifiées de la manière suivante : 2016-07-01 et 2016-07-05. La première comprend des correctifs qui concernent Android au sens large et touchent potentiellement tous les terminaux, tandis que la seconde se concentre sur des brèches liées à des composants particuliers provenant de chez Qualcomm, NVIDIA, MediaTek, etc.

Le lot estampillé 2016-07-01 comble plus d'une trentaine de failles, dont 8 sont considérées comme critiques puisqu'elles permettent d'exécuter du code à distance via Mediaserver, OpenSSL ou BoringSSL suivant les cas. Le second lot est plus conséquent avec pas moins de 75 failles, dont 12 critiques.

Qualcomm occupe une bonne place avec, pêle-mêle, des élévations de privilèges via une vulnérabilité au niveau du GPU ou le « performance component ». Pour rappel, le fabricant de SoC était récemment sur la sellette pour un problème lié au chiffrement intégral d'Android. De leur côté, les pilotes vidéo de NVIDIA et Wi-Fi de MediaTek contiennent également des brèches pouvant mener conduire aux mêmes conséquences. Tous les détails se trouvent par ici.

Mise à jour d'usine disponible pour certains Nexus, pour les autres...

Comme toujours, les images d'usine sont disponibles sur cette page pour les terminaux Nexus encore mis à jour par Google. Pour AOSP (Android Open Source Project), le code source sera disponible d'ici 48 heures précise le géant du Net. Ce dernier ajoute enfin que ses partenaires ont été notifiés de l'ensemble de ces bulletins de sécurité le 6 juin au plus tard.

Mais le problème avec les mises à jour de sécurité de Google est toujours le même : seules les dernières moutures du système d'exploitation bénéficient des correctifs et il faut ensuite que les fabricants de smartphones et de tablettes les proposent à leur client... ce qui peut prendre du temps, voire ne jamais arriver suivant les cas.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une centaine de failles, réparties en deux groupes 

Mise à jour d'usine disponible pour certains Nexus, pour les autres...

Commentaires (54)


J’ai une question bête, est-ce que les Nightly de Cyanogenmod embarquent la correction de ces failles?


Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />


Tout comme ça se voit dès la deuxième phrase de l’article?


Oui, prises en compte très rapidement








Soltek a écrit :



Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />





Heu… c’est dit à l’envi dans l’article, hein …



Merci :)


à l’envi ?








Soltek a écrit :



à l’envi ?





L’envi d’avoir envi !!!!!!!



<img data-src=" /> <img data-src=" />



Bonjour,



Ce que je trouve vraiment déplorable avec les téléphones de nos jours, c’est qu’on se retrouve à devoir jeter le téléphone juste par manque de mise à jour de sécurité…



Qu’on n’ait plus le droit au majs de nouveautés ok, mais le constructeur + l’entreprise en charge de l’os se devrait de fournir des majs de secu durant 5 ans. C’est clairement un minimum…



En gros il faudrait des versions LTS, et que chaque appareil soit vendu en garantissant le support d’une LTS (ou plus selon l’envie du constructeur). Mais au moins on n’aurait pas à jeter son téléphone “juste” parce qu’il n’existe plus de correctif redescendu sur sa branche d’os pour corriger les failles.





C’est vraiment aberrant cette obsolescence programmée…


Question (naïve) : avec l’image dusine, on perd ses réglages et données ?


Ok. Ouais donc je ne trouve pas. Il ne corrige pas les failles des pilotes hardwares, il ne fait que les distribuer comme MS le fait avec les MàJ des drivers dans les Windows Updates quoi.


Pas forcément, si tu suis la manip de cette page oui, mais tu n’es pas obligé de faire toutes ces étapes.


J’espère que CyanogenMod va nous sortir une version corrective.








Soltek a écrit :



Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.

D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?



En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour <img data-src=" />







Oui mais une faille sur un composant Qualcom, ça touche pas de fait un large public sur mobile?










Soltek a écrit :



Ok. Ouais donc je ne trouve pas. Il ne corrige pas les failles des pilotes hardwares, il ne fait que les distribuer comme MS le fait avec les MàJ des drivers dans les Windows Updates quoi.





Ah non, CyanogenMod va nous sortir une version distributive de corrections.&nbsp;<img data-src=" />



J’ai une question : est-ce que le monde à deux vitesses d’Android (pardon, à 100 vitesses) ne pose pas lui-même un problème de sécurité ? Parce que quand Google sort un correctif, ceux qui sont susceptibles d’utiliser les failles qui sont bouchées ont alors connaissance de failles exploitables sur les millions de devices qui n’ont pas accès à la mise à jour, am I right ?


Si si ça je ne dis pas le contraire.


<img data-src=" />



C’est ce que fait Google tous les mois avec ces mises à jour mensuelles.


Je te charriais sur la diférence entre correction et distribution.

Le client se fout, à tort, de savoir où est précisément le problème.

“Mon tél Android c’est une passoire”


Ah oui bah si on parle client là on peut carrément enlever ta dernière phrase parce qu’il n’en sait rien et s’en fout royalement <img data-src=" />


De là à le jeter… J’ai un vieux PC sous Vista, je ne vais pas le jeter même s’il n’y a plus de support sécurité venant de Microsoft. <img data-src=" />


Depuis le 5 juillet sur les BlackBerry Priv.


Les anciens téléphones avaient des failles aussi : tous les dispositifs en ont, mais celles-ci n’étaient pas corrigées.


Sauf que la majorité des gens n’en ont rien à faire des mises à jour de sécurité.


Sauf sur les snapshot vu que le dernier snapshot date d’avril…



Donc il faut se farcir les nightly avec les bugs potentiels…








Lady Komandeman a écrit :



De là à le jeter… J’ai un vieux PC sous Vista, je ne vais pas le jeter même s’il n’y a plus de support sécurité venant de Microsoft. <img data-src=" />





C’est à toi de voir, aller sur internet avec une passoire pareil, sachant que les antivirus vont aussi arrêter de le supporter… A ta place je mettrais justement un linux pour avoir quelque chose à jour et ne pas jeter. Chose qu’on ne peut pas faire sur les téléphones si android 5.X n’est plus supporté, et que le 6.X ne passe pas faute de driver ben c’est fini, les failles connues sont exploitables et basta.



Tu oublies aussi une chose, certaines failles critiques sont exploitables juste à la réception d’un mms. Et tu ne peux rien faire… On n’est pas juste de l’ordre de l’accès physique à la machine…

Pour ceux qui étalent leur vive privée sur fessebouc et truiteur je conçois parfaitement qu’ils n’y voient aucun problème, pour ceux qui fon gaffe un minimum la donne est différente.







DownThemAll a écrit :



Sauf que la majorité des gens n’en ont rien à faire des mises à jour de sécurité.





Et c ‘est bien ce qui est déplorable, de toute façon les gens s’en foutent vu qu’ils suivent la société de consommation donc change très rapidement, donc ils sont contents.



c’est quand meme incroyable ce lot de failles chaques mois



est ce qu’il s’agit de regression principalement ? de faille induites par de nouvelles fonctionnalités ?



ca semble sans fin, pourtant on imagine la creme de la creme des dev deriere ces systemes



pour le coup je suis etonné qu’il n y pas de scandale grand public quand ont sais que certaines peuvent etre exploité via un simple envois de SMS, en theorie on aurait du voir des millions d’infos fuiter dans la nature ( historique web/ sms / noms utilisateurs et j’en passe )

j’ai pas été voir metesploit recemment mais a l’epoque il y a avait tres peu d’exploit android, ca n’a peut etre pas beaucoup changé


J’ai l’impression que le principale problème d’Android, c’est le fait que l’OS est assez monolithique, et que les mise à jours doivent faire l’intégralité de la chaînes, de l’origine de la correction (fabricant de matos pour les driver, Google pour le coeur, le constructeur pour les surcouches) jusqu’à constructeur voir opérateur téléphonique pour être diffuser.



Pour les iPhones, la question ne se pose pas car Apple est sur l’ensemble des échelon, tout en entièrement sous son contrôle, ils font la pluie et le beau temps.



Mais qu’en est-il des Windows Phone ? est ce que c’est toujours le constructeur qui diffuse toutes les maj, ou MS s’occupe lui même des maj de l’OS un peu de la même manière que son OS de bureau ?


Ce n’est clairement pas incroyable, les smartphones sont au final des mini pcs.



Combien de correctifs reçoit tu pour windows/osx/linux chaque mois?

Ben c’est pareil. L’erreur est humaine, donc il y a forcément des failles pb.



Si on rajoute à ça la course vers la sortie rapide, qui est très à la mode, les développeurs n’ont pas le temps de faire quelque chose de correcte éprouvé et validé.

Rien n’est surprenant. Le problème aussi c’est que contrairement à windows/linux and co, les pilotes sont inclues dans la rom, et là ou sous windows tu mettrais juste à jour ton driver pour résoudre le problème, si ton constructeur/google ne redescend pas un correctif, tu ne peux pas l’installer sans téléphone rooté… Bref on est sur un pc totalement verrouillé..



Ce qui est surtout irresponsable, c’est justement de se retrouver coincé à jeter son matériel puisque non mi à jour, et sans solution de replis, là ou sur un pc dans 90% des cas tu peux te replier sur autre chose qui lui va continuer à être mis à jour en gardant l’utilité principal ou quitte à faire des compromis.


Le problème d’Android c’est surtout la diversité des smartphones, puis la personnalisation constructeur.

De plus on est trop proche d’une philosophie “de l’embarquée” (donc personnalisé par le constructeur) que du “pc” (donc plus grandes séparations des composants via un système de drivers dynamique). Il serait temps de se rapprocher de la philosophie PC : ca pouvait se comprendre avec la “faible” puissance des smartphones, mais maintenant on a de la puissance pour pas cher…








CryoGen a écrit :



Le problème d’Android c’est surtout la diversité des smartphones, puis la personnalisation constructeur.

De plus on est trop proche d’une philosophie “de l’embarquée” (donc personnalisé par le constructeur) que du “pc” (donc plus grandes séparations des composants via un système de drivers dynamique). Il serait temps de se rapprocher de la philosophie PC : ca pouvait se comprendre avec la “faible” puissance des smartphones, mais maintenant on a de la puissance pour pas cher…





La dessus je suis d’accord, c’est le constructeur qui tient son smartphone à jour mais que par l’aspect “emparqué” qui rend un peu monolithique le bousin, les MAJ nécessite un gros travail de compilation+validation qui avec la diversité des référence pour un constructeur devient très peu rentable à long terme.



Cette logique de l’embarqué avait un sens il y a 10ans, mais aujourd’hui, ce n’est plus trop le cas. D’où ma question : Windows Phone étant arrivé plus tard surtout la version 810, est-ce que MS a gardé une logique plutôt proche des PC ?



Je crois qu’il y a peu de téléphones constructeurs autre que ceux de microsoft…

Donc pour la majorité c’est microsoft qui déploie.



Pour les autres si ça existe toujours, déjà on n’a pas le problème de surcouche etc. Donc je crois que c’est quand même poussé par microsoft comme pour windows.

Je pense que le problème ne se pose donc pas.


Fairphone fait ça, en s’engageant à mettre à jour niveau sécurité le plus longtemps possible.

Le FP1 va encore recevoir des mise à jour d’Android 4.4.4.


Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel&nbsp;à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité


Sur SaM Mobile le dernier firmware constructeur version 5.1.1 a les versions de sécurité de mai 2016, depuis plus rien.








athlonx2 a écrit :



L’envi d’avoir envi !!!!!!!



<img data-src=" /> <img data-src=" />





<img data-src=" />



On va peut être enfin pouvoir se connecter à un vpn ipsec avec android 6 -_-’








challenger a écrit :



Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité



Au bout de 4 ans, il ne doit plus y avoir beaucoup de SG3 encore en fonctionnement. Ils ne vont pas se faire chier pour 2000 téls dans le monde…









challenger a écrit :



Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?

On a potentiellement plein de failles, mais comme le tel&nbsp;à 4 ans, c’est plus à la mode, donc on doit changer ?

==&gt; Belle mentalité





Au pire, il ne doit plus être sous garantie depuis longtemps, donc tu flash une ROM alternative. Mon Galaxy Note 1 tourne sous Marshmallow avec les derniers patch de sécurité.



A Madagascar par exemple, il y en a bien plus que 2000.


Ils arrivent à porter sur android 4.4 les correctifs qui ne sont portés que sur android 6.X????



Idem, je ne vois pas comment isl pourraient régler les problèmes du constructeur de cpu qui ne fourni pas de correctif ou tout du moins pas pour android 4.X et livre un blob?

Après en dehors de ça la gamme de prix ne correspond pas à ce que je cherche.



Je veux bien mettre le prix, mais alors je un truc très compact genre Z5C (voir plus petit :o) et pas un bordel à 5” ou plus)


Encore faut-il que ça soit possible.

Parfois ça ne l’est pas ou il faut voir le résultat, si c’est pour avoir le wifi/GSM qui coupe tout le temps parce que le blob n’est pas mis à jour et non compatible, ce n’est pas ce que j’appelle “supporté”. :/








Burn2 a écrit :



Encore faut-il que ça soit possible.

Parfois ça ne l’est pas ou il faut voir le résultat, si c’est pour avoir le wifi/GSM qui coupe tout le temps parce que le blob n’est pas mis à jour et non compatible, ce n’est pas ce que j’appelle “supporté”. :/





Sur mon Note 1, tous fonctionne parfaitement avec Android 6. &nbsp;Mon Note 4 est parti en SAV je l’ai utilisé pendant 1 semaine et demi et aucun soucis. Ta essayé qu’elle ROM ? Sur XDA pour le tiens, il y a celle-ci ou tous a l’air fonctionnel. Apres j’ai eu un soucis similaire car j’avais oublier de WIP la partition system avant de changer de ROM, j’ai refais toute l’installation et tous fonctionné parfaitement.



EDIT: Ne pas oublier de regarder si tu as bien le dernier Modem sortie d’installé sur ton téléphone.



Je n’ai pas de Note1, mais c’est d’expérience que je dis ça.

J’ai eu le cas avec:

Le geeksphone one

Le motorola defy

Le razr i



Et on peut en citer plein comme ça, assez vite, les blobs vont te bloquer niveau mise à jour, tu ne pourras pas compiler un kernel qui va bien sans les pilotes manquants et ça va capoter.


Le lien c’est pour ton “bon vieux SG3 LTE” comme tu le cite en exemple.


Alors qu’il suffirait peut-être simplement de fragmenter pour avoir Android stock + une surcouche logicielle indépendante… mais non, les constructeurs et les opérateurs s’obstinent à vouloir compiler pour nous imposer leurs launcher et leurs pourriciels.


Oui pour tous ce qui touche au code open source d’android (AOSP)

Pour ce qui relève des drivers, c’est moins sûr. Sur le Nexus 5x, les drivers sont sur une partition séparée par exemple et cette partition n’est pas modifiée quand on met à jour Cyanogen.



Donc pour la procédure d’update de sécurité complète sur Nexus, je te conseille mon tuto :https://tuxicoman.jesuislibre.net/2016/04/installer-cyanogenmod-sur-un-nexus-5x….


“The Android security team currently

provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1

(Lollipop MR1), and 6.0 (Marshmallow).”

https://source.android.com/security/overview/updates-resources.html



Google fournit toujours les mises à jours de sécurité pour Android Kitkat. Et je ne pense pas que beaucoup de constructeurs les utilise/distribue! Fairphone le fait.<img data-src=" />



Après que je comprends totalement que le FP2 (qui lui tourne avec 5.1.1 update) ne puisse ne pas être pour toi. <img data-src=" />


Hum, ok, mais si on prend l’exemple du nexus 4, à ma connaissance google ne déploie même plus de rom incluant les correctifs:

https://developers.google.com/android/nexus/images (dernière build octobre 2015)

Alors que sa dernière version OFF est en 5.1 et que le portage officiel de la 6.X était presque fini avant annulation…



Donc je ne m’attendais pas à ce que ces branches soient toujours patchées si même google n’est pas un bon élève…



C’est bon à savoir qu’en fait si il reste toujours un suivi mais qu’il faut repartir de 0 et se démerder soit même.





En tous cas ça montre bien que même google se fou complètement de ses clients.



Pour le fairphone, il aurait pu me convenir s’il était plus petit.

Mais quand je vois l’abscence total de rom custom ça l’exclu totalement. :/



Néanmoins effectivement d’après ce que tu me dis ça a l’air d’être effectivement un excellent constructeur s’il continue de porter les majs de sécu.

On peut quand même regréter leur choix de “1 version de téléphone = un os”, je n’ai pas l’impression qu’ils mettent à jour les branches, ils compilent juste les correctifs et basta.

Après il restera toujours le problème des drivers constructeurs (qualcomm and co) qui eux ne seront pas forcément corrigés, donc une faille potentiellement béante qu’il n’est pas possible de corriger à l’échelle de l’os.


Détrompe toi, en octobre 2015, le SIII était encore le terminal le plus utilisé.

Cf. le graphique annuel de OpenSignal.


Je serais bien intéressé concernant la ROM utilisée pour le Note 1.&nbsp;<img data-src=" />

Mon ancien Note 1 “dort” tranquillement “pour test” et doit encore être en ROM constructeur 4.1.2 rootée (modèle international GT-N7000).

&nbsp;

Je mettrais bien à jour mon Note 3, mais entre la perte du “tout noir” en 5.x (merci l’AMOLED), le peu d’apport fonctionnel réel, le fait que j’utilise beaucoup certains outils requérant TouchWizz et le fait que je ne souhaite rien perdre sur mon “smartphone de prod” rooté en 4.4.2.

J’avais toutefois vu sur XDA les ROM Phronesis et AlexNDR basées sur le le portage des ROMs officielles du Note 5 (donc basées sur TouchWizz)&nbsp;qui paraissaient intéressantes.



Je reçoit toutefois certaines mise à jour de sécurité de Samsung et de Google sur mon Note 3… mais quand à savoir ce qui se trouve dedans ?!?


[ROM][CM13][Marshmallow][Android 6.0.1]&nbsp;Pour GT-N7000, très bonne ROM. Pense a mettre a jour ton MODEM aussi avant de flasher, et aussi WIP bien toute les partitions pour pas avoir de soucis.


Merci beaucoup, je testerai ça !&nbsp;<img data-src=" />

&nbsp;

Je vois que cette ROM est basée sur CM13. Et du coup, côté stylet, quelle solution ?

J’ai vu qu’il y avait quelques appli sur le PlayStore et sur XDA à ce sujet mais je n’avais pas plus cherché à l’époque.