Google et Samsung ont annoncé tous deux que les mises à jour de sécurité allaient désormais être diffusées sur une base mensuelle, la première s'occupant de boucher la faille Stagefright. Bien que tous les smartphones et tablettes ne soient évidemment pas concernés, il s’agit d’une annonce que beaucoup attendaient.
La récente faille Stagefright a relancé un débat dont les cendres n’ont jamais le temps de s’éteindre : la sécurité d’Android. La question n’est pas tant le nombre de failles (des brèches seront toujours découvertes) que leur correction effective. Il existe en effet un sérieux problème dans la sphère Android puisque les constructeurs assurent eux-mêmes le déploiement des patchs, sans parler des mises à jour plus importantes. Devant la dangerosité de cette faille, beaucoup se demandaient donc qui exactement allait recevoir le correctif et ce qui se passerait pour les appareils un peu plus anciens (près de 82 % des terminaux ne sont pas sous Android 5.x).
Nexus de Google : trois ans de correctifs de sécurité
Google et Samsung viennent justement d’annoncer une importante décision qui répond en partie à cette interrogation. Les mises à jour de sécurité seront ainsi distribuées sur une base mensuelle. Un processus régulier qui rappelle clairement celui de Microsoft avec les fameux Patch Tuesdays (les correctifs sont diffusés le deuxième mardi de chaque mois), mais il faut savoir que Google émet déjà ses bulletins sur une telle base. Ce qui va changer, c’est bien la distribution puisque les utilisateurs auront réellement des mises à jour à installer.
L’annonce de Google est beaucoup plus précise que celle de Samsung. Les Nexus 4, 5, 6, 7, 9, 10 et Player sont ainsi pris dans la boucle. La firme en profite d’ailleurs pour préciser certaines données temporelles : chaque appareil reçoit des mises à jour majeures pendant deux ans et des correctifs de sécurité pendant trois ans ou 18 mois après l’arrêt de la vente sur le Google Store.
L'éditeur précise en outre que le premier correctif est déployé depuis hier soir, et qu'il corrige l'ensemble des failles contenues dans le bulletin de sécurité de juillet, dont évidemment celle sur la bibliothèque Stagefright. Les correctifs ont également été intégrés hier dans l'Android Open Source Project (AOSP). Notez enfin que ceux qui ne veulent pas attendre le déploiement pourront récupérer l'image ISO pour leur appareil Nexus depuis le site de Google dédié aux développeurs. Tous ne sont pas encore concernés et il faudra repérer la version « LMY48I » d'Android 5.1.1. Attention tout de même, sa mise en place effacera vos données.
Samsung suit le mouvement, mais ne donne pas de détails
Du côté de Samsung, le langage est le même, mais peu d’informations concrètes sont indiquées. On sait donc que le rythme mensuel est bien là, mais pas les modèles concernés ni la période de support envisagée. Dong Jin Koh, responsable de la division recherche et développement mobile, a cependant confirmé indirectement que la faille Stagefright avait bien joué un rôle : « Avec ces récents problèmes de sécurité, nous avons repensé la diffusion des correctifs de sécurité sur nos appareils pour la rendre plus rapide. Puisque le logiciel est constamment détourné de nouvelles manières, développer un processus rapide pour distribuer des correctifs de sécurité est critique pour garder nos appareils protégés. Nous pensons que ce processus améliorera grandement la sécurité […] ».
Ce qui pose immanquablement la question des opérateurs de téléphonie, qui interviennent également dans la diffusion des mises à jour. Le constructeur aborde justement ce point et annonce qu’il « est actuellement en discussion avec les opérateurs à travers le monde pour intégrer cette nouvelle approche ». Et de préciser qu’une autre annonce aura lieu pour détailler les modèles concernés et la durée des périodes envisagées.
Ce qui n'empêche pas la mise à jour de sécurité pour Stagefright de commencer à être déployée pour les Galaxy S5, S6, S6 Edge et Note Edge (notamment chez Sprint). Plusieurs opérateurs aux États-Unis et au Canada en ont commencé la distribution et le reste devrait suivre rapidement. Comme d'habitude, n'hésitez pas à nous faire part dans nos commentaires de vos constats.
Il aura fallu du temps et bien des failles
Il semble clair cependant qu’il ne faut pas espérer remonter trop loin dans le passé pour trouver les modèles concernés. La politique de mise à jour des appareils Android a été jusqu’à présent de rester sur une période de support de 18 mois, ce qui n’est clairement pas assez dans le cadre de la sécurité. Difficile d’imaginer que des appareils n’étant pas allés plus loin que la mouture 4.0 ou 4.1 du système puissent recevoir le fameux correctif, alors que la faille Stagefright touche tous les appareils ayant au moins Android 2.2.
En outre, même si cette annonce conjointe est particulièrement importante, on rappelle que Google et Samsung ne sont pas les deux seuls fournisseurs d’appareils Android, loin de là. On attend donc que ce virage dans la politique de support fasse tache d’huile et soit répercutée par HTC, Sony, Motorola, LG et les autres.
En attendant, Zimperium (qui avait découvert la brèche) propose depuis hier une application permettant de vérifier si votre terminal est sensible aux différents scénarios d'attaque sur Stagefright, mais ne pourra en aucun cas régler le problème.
Commentaires (87)
#1
Cette nuit mon tél a rebooté (alors que j’ai dû faire une énorme MAJ il y a 1 semaine) et j’ai aperçu un rapide “Mise à jour du système”. Ah bon.
#2
La politique de mise à jour des appareils Android a été jusqu’à présent de rester sur une période de support de 18 mois
Les Nexus 7 2012 sous Lolipop 5.1.1 (avant ce changement de politique) ne sont pas d’accord.
#3
Et Asus ?
" />
" />
" />
#4
Bon bah… Je m’en doutais mais c’est confirmé Asus Zenfone2 touché par la faille
" />
#5
et acer?
" />
#6
#7
#8
#9
Et on est aussi bloqué par la politique des opérateurs qui modifient l’image et imposent de passer par leurs mises à jour, qu’ils ne distribuent pas forcément.
#10
Mon Nexus 5 me dit qu’il est à jour, y’a un moyen de savoir si le patch a été installé (genre numéro de version) ?
#11
Salut j’aimerais bien connaître l’OS de ton prochain téléphone car je ne vois pas qui à part peut être Firefox OS qui ne pousse pas automatiquement les mises à jours.
#12
Je viens d’installer la mise a jour sur mon nexus 5 (LMY48I) mais avec l’application de teste, il me signal toujours vulnérable…
#13
… J’aimerais bien connaitre le nom de ton futur téléphone, celui ou rien n’est caché.
A part en passant sur une rom android AOSP, je vois pas trop qu’elle système pourrait t’offrir ca.
#14
Oui, dans a propos du téléphone, dans les paramètres, regarde le numéro de build et vérifie qu’il soit égale à “LMY48I”.
#15
Toujours pas eue alors, j’en suis à LMY48B.
#16
“des correctifs de sécurité pendant trois ans ou 18 mois après l’arrêt de la vente sur le Google Store.”
J’avoue ne pas comprendre ces 2 limites temporelles (18 mois ou 3 ans?)
#17
#18
Ce qui n’empêche pas la mise à jour de sécurité pour Stagefright de commencer à être déployée pour les Galaxy S5, S6, S6 Edge et Note Edge.
Et mon Galaxy Ace ?
Je vais devoir le mettre à la poubelle ?
#19
Google lance toujours ses mises à jour par vague. Généralement elles peuvent s’étaler sur un mois, mais comme c’est une mise à jour de sécurité qui ne modifie pas grand chose au système, ils vont peut-être aller plus vite cette fois-ci.
#20
ça fait du bien de voir que je ne suis pas le seul à ne pas pouvoir faire de MAJ
" />
" />
Huawei ascend P7 : rien ! kitkat et ça n’a pas bougé depuis juillet 2014
#21
Bon Samsung, c’est bien les mises à jour sur les flagship, maintenant on veux pareil sur les 250 modeles différents 
" />
" />
Perso, j’attend encore la réponse de Sony
#22
D’ailleurs je pensais qu’ils avaient finalement décidé de simplifier leur gamme. Mais faut croire qu’ils sont retombés dans leur travers.
" />
Quel est l’emplacement de gamme du prochain Galaxy S6 edge plus par rapport aux S6, S6 edge, note ?
#23
#24
#25
Windows n’installe pas de MAJ sans ton consentement. iOS je ne pense pas non plus
#26
Je me pose sérieusement la question : Quel sera mon prochain téléphone.
Ou plus précisément quel OS?
J’ai acheté un Xperia Z et les MAJ se comptent au compte goute. Pire, j’ai l’impression qu’elles rendent les tel de plus en plus instables et de moins en moins autonomes (Et je ne vous raconte même pas pour le Xperia S de ma femme).
Pourtant, je n’utilise ni FB, ni Whatsapp, ni Twiter, ni …
Vu la politique de MAJ des OS Android et la liberté laissée au constructeurs, cela se traduit souvent par du travail à minima comme si ces constructeurs vendaient encore des téléphones “non évolutifs” et non des “PC”.
Déplorable….
Et le pire c’est que Google ne fait rien d’officiel pour les Androphones de plus de 3 ans (Obsolescence programmée ?).
#27
Ca n’a rien à voir avec une mise à jour.
Au démarrage Android lance un processus qui met en place un cache pour les applis système. Lors d’une mise à jour ce message apparaît et ça dure assez longtemps (l’opération est réalisée pour chaque appli, ça prend plusieurs secondes pour une appli), mais parfois au redémarrage tu as ce message qui apparaît mais rien n’est vraiment fait, le message est donc très rapide à disparaître.
#28
Ils annoncent un support sur les téléphones pendant x années, c’est leur politique, c’est transparent, tu adhères ou pas mais ce n’est pas de l’obsolescence programmée. Quand tu achètes chez eux tu sais à quoi t’attendre. La première règle de l’obsolescence programmée c’est que ça doit être caché.
Si cela te pose problème la seule solution semble être Apple dont le support est un peu plus long que ça sur les modèles récents.
#29
yep j’ai vu ça
" />
C’est pas trop grave , je ne suis pas un gros user mais bon j’attend encore un peu, mais la prochaine fois je penserai avant d’acheter
question bête : le z3 compact est il MAJ régulièrement ou pas ?
#30
Les deux, sur l’annonce il est dit que ce sera le plus long des deux, donc soit 3 ans après la sortie, ou 18 mois après la dernière commercialisation sur le magasin en ligne de Google. Il assureront les mises à jour de sécurité jusqu’à celle des deux dates qui arrivera en dernier.
#31
IOS ne les installe pas mais je me souviens qu’il les téléchargeait sans ton consentement et que ça a créé pas mal de problèmes d’espace à certains
( ça a peut-être changé)
#32
Nexus 5 mis à jour ce matin! L’avantage d’avoir un dev motivé qui suit au jour le jour les sources fournies par Google (Chroma).
" />
#33
CyanogenMod 11-20141115-M12-makone propose à mon Nexus 4 que l’Android 4.4.4
https://download.cyanogenmod.org/?type=snapshot&device=mako
À quand une nouvelle mise à jour??
#34
Comme l’a suggérer chp2 est ce que ce genre de limitation des mise à jour peut rentré de le cadre de l’obsolescence programmé ?
#35
mouaif…. depuis le temps que google avait eu la possibliter d’imposer des MAJ comme apple…
J’ai du acheter un galaxy s3 4g pour les besoins du travail. J’ai compris qu’il fallait vite laisser la rom officielle pour une rom aosp ( ce qui fait sauter la garantie d’ailleurs). Bref je suis passer d’un téléphone potable avec une interface des années 90 ( au secour samsung! j’avais l’impression d’avoir un look de l’epoque des win mobile), une ergonomie douteuse et une batterie qui fondait a vu d’oeil… à un téléphone correct, à jour et efficace ( lolipop 5.1.1 sans faille de sécurité digne d’un windows 95 sans parefeu : ça date de frojo!).
Pour ceux que ça interesse : un s3 4g avec la rom resurection remix 5.1.1 marche parfaitement et le test stagefright est validé ok!
J’ai aussi une tablette asus tf101. Si je n’avais pas bidouillé, je serai en android 3… alors que là je suis en 4.4.4 ( rom katkiss, une bombe atomique aussi) et que elle va fièrement passer sous lolipop.
Pour conclure heureusement que android aosp casse l’obsolescence programmée de ces raclures de constructeurs.
#36
Ah ben en voilà une bonne nouvelle !!
" />
Maintenant il faudrait que tous les constructeurs se mettent au diapason pour diffuser les patches de sécurité sur leurs appareils, pour avoir ENFIN une politique de mise à jour claire sur Android.
#37
Mon note 1ere generation n’est pas vulnerable :p
#38
C’est une vraie bonne nouvelle. Dommage que ce soit basé sur une frequence mensuelle (comme chez MS quoi) mais bon, c’est mieux que rien. Surtout que c’est la première vraie faille d’Android qui nécessite véritablement un patch.
#39
#40
J’imagine que le passage à une telle ROM casse tout le tél non ?
Pas question de perdre mes applis, leurs données et leur données de config (applis bancaire plutôt chiantes là dessus, déblocages in app, etc.).
#41
#42
#43
#44
Donc pas de redémarrage obligatoire, mais fortement suggeré
#45
Comme pour toute machine et OS, le redemarrage se fera en fonction de ce qui est mis à jour…
J’ai pas essayé, mais je pense pas qu’on puisse faire la MAJ de 8.1 vers 10 sans redémarrer à un moment donné si ?
#46
Le message du système vient juste après celui des applis, mais c’est une opération vraiment très très rapide en général.
Quand au reboot automatique, ça peut être du à un crash système, tout simplement. Surtout si tu as mis à jour récemment, la mise à jour n’a peut être pas fait que corriger des soucis.
En tous cas à moins que tu aies eu l’option activée, je n’ai jamais vu de téléphone qui se mettait à jour tout seul, c’est une opération délicate qui peut potentiellement prendre du temps, c’est risque pour un constructeur de forcer la mise à jour.
#47
Oui, les MAJ majeures sont pré-chargées et je dois les faire.
Là je sais pas…
Le reboot m’a fait perdre 2 icônes sous le launcher Aviate (comme après les MAJ d’ailleurs…)
Donc je vais surveiller.
#48
Un tres beau coup de comm de Zimperium surtout… au royaume des aveugles , le borgne fait paniquer tout le monde…et les journaleux et autres bloggeurs se réjouissent du click que ca génère.
Et comme par hasard ils retardent la publication de leur ‘exploit’ au 24⁄08…
Leur timing est parfait: annonce une semaine avant les 2 confs majeures de sécurité de l’année (Blackhat le 5 et Defcon le 7). Puis publication d’une app obscure qui n’explique rien de ce qu’elle fait (pas de code source fourni) mais fait encore plus paniquer les ‘aveugles’ et les renvoi sur les produits de sécurité de Zimperium …
En terme de FUD, buzz et manipulation des médias c’est un coup de maître.
#49
Le jour où tu l’as acheté, c’était déja foutu…
" />
" />
PS: je t’accompagne car j’ai un LG G4 à jeter à la poubelle aussi, apparemment…
#50
Je crois que c’est la mode d’utiliser l’“obsolescence programmée” comme terme pour désigner ce qui ne l’est pas.
Le fait de ne pas être mis à jour empèche ton matériel de fonctionner ? Non.
Es-ce qu’il tombe en panne ? Non.
L’obsolescence, comme dit plus haut, doit être cachée. Quand tu achètes ton téléphone, tu sais que tu as 18 mois de mise à jour garantie (à partir de la date de sortie). Et c’est le cas.
Et NON tu ne perds pas ta garantie.
#51
Il est quand même léger le communiqué de samsung, en gros ils nt annoncé que les smartphone HDG encore sous support auront la MAJ… encore heureux.
" />
En fait ils n’ont même pas donné de modèles, c’est juste que les HDG récent ont commencé à recevoir la maj.
#52
Je suis peut être à coté de mes pompes, mais quand je vois que 100% des utilisateurs grand public de smartphone (source:doigt mouillé + vent) ont au moins une application qui s’attribue plus que droits que nécessaires, il y a quand même de quoi minimiser l’impact d’une faille de sécurité.
Alors oui avec une rom alternative on peut contrôler telle ou telle chose.
Mais c’est pas la majorité des utilisateurs.
#53
Tu veux relativiser une faille qui donne droits root complet à un pirate par le biais d’un SMS (ou l’affichage d’une image dans une app) (donc appels surtaxé, exploitation de tes comptes google - donc Gmail, Gdrive … avec potentiellement ransonware à la clé), parce que des utilisateurs installent des apps avec “trop de droits” ?
#54
Ca ça peut se contourner en installant une image “stock” sur ton tel par l’outil de flashage (il fait pas la différence la très grande partie du temps entre un tel “opérateur” ou “stock”).
Mais t’as toujours le problème des mongoliens de constructeurs qui oublient que leur taff c’est le HARDWARE pas l’OS et qui font des trouzaines de modifs pour rien.
A la rigueur Sony est un des mieux en ce moment en ayant mis presque toutes leurs applis propres/modifs “à part” et en ayant très peu de diffs entre leurs Roms et les AOSP, et entre les Roms des différents appareils (mais c’est toujours trop).
Samsung est le pire avec genre 12⁄13 versions différentes de leur Rom JUSTE pour Lollipop sur du matos sensiblement comparable (genre la résolution d’écran, la Ram et le slot µSD ou pas comme différences :().
#55
#56
Vous parlez (à raison) de ces “raclures de constructeurs” qui ne proposent pas ou peu de mises à jour sur très peu de leurs modèles.
Mais la situation est encore bien pire lorsque le vendeur (souvent un opérateur) a personnalisé la ROM du constructeur pour y ajouter ses propres bloatwares, qui permettent de subir gratuitement des failles supplémentaires, une consommation plus rapide de la batterie, et une forte baisse de la probabilité d’obtenir une mise à jour.
Alors Orange ? SFR ? Bouygues ? Free ? Les mises à jour de vos ROM c’est pour quand ?
#57
#58
Tu oublies les opérateurs qui tiennent absolument au “bien -être” et “confort” de leurs utilisateurs et qui donc ne FONT PAS les maj de l’OS que le constructeur a fait parce que ça pose des problèmes de “performance” (alors que la version stock ne les as pas, “bizarre” :p)…. (c’est un dont le logo est Rouge et Blanc cette année ou l’année dernière, la Foutage de Gueule Intersidéral quoi…
" />).
#59
Comme à peu près tous les Samsung “mainstream” tu le passes sous une Rom custom (il va au moins jusqu’à KK 4.4.x voir Lollipop…).
Samsung fait partie de ceux, sauf modèles “ésotériques”/symboliques (genre la gamme des Alpha/Ax), qui ont tous les tutos/outils/devs pour avoir des tas de Roms/kernel customs pour presque tous leurs modèles que n’importe qui peut installer ou presque en faisant attention (la plupart ayant leur pendant en vf pour les anglophobes sur Frandroid and co).
#60
Oui enfin bon, à peu près toutes les Roms qui sont sync avec l’arbre Nightly de CM sont patchées depuis mi-Juillet dans les faits si elles ont une release qui a été sync depuis (je sais, la mienne l’est depuis le 17 ou 18 Juillet pour cette raison).
#61
En l’occurence, si tu veux le contrôle max sur ton tel, Android est (pour le moment) le “mieux” (je dirais le moins pire), rien que pour l’option de pouvoir faire root+xposed+Xprivacy/Donkeyxguard,BootManager,ReceiverStop (ça plus Greenify/Amplify/AdAway/MiniMinGuard, mais là c’est pour la batterie :o).
Ca permet un contrôle que tu n’as nulle part ailleurs.
Mais oui c’est super pénible ces OS “modernes” qui prétendent savoir à ta place ce que tu vas avoir besoin d’utiliser, et le “précharge” pour te permettre de le lancer 1/2s plus vite…. en contrepartie de te bouffer 20+% de ta batterie sur la journée et de sensiblement ralentir le tel la plupart du temps, sans parler du fait que c’est des applis que tu n’utilises que rarement/jamais qui se lancent (sur ma Rom de base Samsung j’avais 12 applis qui se lançaient toutes seules… alors que je ne les aies JAMAIS utilisées/lancées manuellement, c’était “top” :().
#62
#63
Mon père a acheté un Nokia Lumia 1320 l’année dernière dans la boutique Free Mobile et a bénéficié
de la mise à jour 8.1 dès la date prévu pour la France par Microsoft .
#64
#65
#66
Heu non là c’est une grosse MAJ, mais ils ne vont quandmeme pas forcer laMAJ vers WP10, ca serait trop dangereux!
#67
Je te rassure pour tourner sur du Sony xperia L, j’ai eu la surprise de voir près d’une dizaine d’applis qui ne servait strictement à rien tourner en tache de fond lors du root du tel.
Après un petit (gros) nettoyage, mon autonomie est passée de 18h à presque 36h, supprimant au passage de nombreuses demandes de connexion au net et de géolocalisation silencieuses et inutiles.
#68
Non je parlais des appareils sous 10, qui n’auront plus le droit de refuser aucune MAJ
#69
#70
Pas de changement de rom (uniquement du root + desinstall de plusieurs “petits programmes” chiants + install de logiciels de controle).
Pour le baseband, je suis même pas sur que ce soit possible sur mon tel, du moins je n’ai jamais vu ce sujet traité sur les forums concernés.
Du coup, dur de te répondre sur ce point.
#71
#72
Mort de rire de lire tout ça. .. Que n’entendrait-on pas So c’était Microsoft qui offrait aussi peu de maj sur son OS ! Quand je pense qu’il y a deux jours, sur un des blogs soi-disant spécialisés du monde.fr, on nous parle des pbs liés à la vue privée avec Windows 10… Android est certes pratique, mais c’est une usine à gaz insecuritaire dont personne ne se soucie parce que “ce n’est que pour les téléphones”, pas pour un truc aussi important à sécuriser qu’un ordinateur…. Sigh…
#73
Bonne question. Si Free n’ajoute pas de merdes sur ses téléphones comme les autres opérateurs, alors j’espère qu’un client passera dans ce sujet pour témoigner.
Si “nous” (lecteurs de PC INpact) n’avons pas de difficulté particulière à remplacer l’OS par quelque chose de mieux et plus à jour, ce n’est pas le cas de la grande majorité des utilisateurs de smartphones. Pouvoir les orienter vers un opérateur moins con, ce serait bien.
#74
Tu rigoles là ou… ?
Même Cyano vient seulement de patcher la faille donc… je ne crois pas une seconde à ce que tu avances!
Edit: ben merde alors… tu as raison! Désolé… je ne l’avais lu nulle part ailleurs!
https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
#75
Pas de surcouche opérateur chez Free : le plus qu’ils font, c’est changer ton bootanimation…
#76
#77
Vraiment ? Free ajoute l’EAP-SIM pour l’accès au FreeWifi secure.
Ce n’est pas encore fait de base chez Google.C’est accepté.
#78
#79
Et mon S5Mini Mr Samsung ? y ena que pour les gros Smartphone, même mon S3 a une MAJ Android plus recente !!!! S3 est en 4.4.4 et le S5Mini en 4.4.2 et pourtant plus recent
#80
Free ne rajoute absolument pas l’EAP-sim, c’est uniquement du fait des constructeurs.
Pour rappel, le Nexus 5 vendu un temps sur le site de Free Mobile n’était pas compatible EAP-sim. Pourtant, il est encore plus simple de modifier des ROM AOSP, d’autant qu’il existe des correctifs sur Github pour les rendre compatibles d’un protocole EAP-sim.
Free ne l’a pas fait.
#81
Google parle des devices mis à jour pour StageFright : http://www.frandroid.com/marques/google/301669_stagefright-google-publie-liste-d…
" />
C’est bien que Google mette les constructeurs devant leurs responsabilités
#82
#83
#84
Pani Problem, je le savais parce que la question s’est posée pour ma ROM, et que j’ai fait un peu de recherche.
" />
Mais en gros le “fix” officiel de CM (et son annonce) a attendu qu’ils l’intègrent à la branche stable de CM11 (et soient presque prêts pour CM12), mais c’était implémenté depuis un moment. ;)
#85
Chez Samsung (comme ailleurs remarque) ça dépend des chiffres de vente et de la popularité des modèles.
" />
M’enfin, pour du Samsung S3/S5 (même mini) tu changes de Rom, t’as tout à gagné à virer TouchWiz dans tous les cas.
#86
C’est un beau bordel : Si il faut attendre le bon vouloir de Google ET des constructeurs ET des opérateurs, on n’est pas sorti de l’auberge…
#87
Parfois les logiciels propriétaires …..
" />
" />