Tous les mois, Google met à la disposition des constructeurs de smartphones Android une liste de bugs ainsi qu’un patch pour combler les failles d’Android. Les constructeurs de smartphones ne sont pas obligés de mettre à jour leurs appareils (ce qui est tout à fait discutable, mais pas le sujet de cet article), mais suivent autant qu’ils peuvent ces listes et fournissent à leurs utilisateurs des mises à jour mensuelles, bimestrielles, trimestrielles, voire plus. Par exemple, tous les deux mois environ, mon Samsung Galaxy S7 reçoit un patch de sécurité comblant les dernières failles trouvées par Google.
Des mises à jour qui oublient de corriger des bugs
Comme moi, vous êtes peut-être du genre à installer immédiatement ces mises à jour et à vous sentir en sécurité. Un groupe de chercheurs allemands de Security Research Labs vient cependant d’anéantir consciencieusement cette idée. Durant deux ans et plus particulièrement durant toute l’année 2017, deux chercheurs ont analysé le firmware de 1200 smartphones Android provenant d’une douzaine de marques différentes et vérifié la façon dont les patchs de sécurité ont été appliqués par les constructeurs. Il fallait s’en douter, en fonction des constructeurs, les patchs de sécurités déployés « oublient » de corriger certains bugs.
Comme souvent, il y a les bons et les (très) mauvais élèves. Interrogés par Wired, les chercheurs ont ainsi trouvé des constructeurs de smartphones qui n’hésitent pas à affirmer que les dernières mises à jour de sécurité ont été installées sur le smartphone, sans qu’aucun bug n’ait été corrigé. À l’inverse, des constructeurs comme Samsung, Sony ou Wiko (comme quoi) se classent parmi les meilleurs élèves. En moyenne, selon les chercheurs, ils oublient de corriger un bug par mise à jour de sécurité. Les plus mauvais élèves sont TCL (Alcatel) ou ZTE, avec plus de quatre bugs oubliés en moyenne.
Les constructeurs de smartphones ne sont pas forcément les premiers coupables dans ces oublis. Bien souvent, s’ils ne corrigent pas des bugs de sécurité sur leurs smartphones, c’est qu’ils ne peuvent pas car ils dépendent de la puce (le SoC) du téléphone. Et le mauvais élève dans ce domaine, c’est MediaTek, un constructeur de puces d’entrée de gamme. Ce dernier a en effet tendance à ne pas fournir aux constructeurs de smartphones les derniers drivers de ses puces afin de leur permettre de corriger les bugs en question. Enfin, les chercheurs indiquent que dans certains cas, les bugs ne sont pas corrigés par les constructeurs de smartphones car ils préfèrent tout simplement supprimer la fonctionnalité, l’application ou le processus touchés par le bug plutôt que de prendre le temps de le corriger.
Une découverte moins grave qu’il n’y paraît
Mais est-il vraiment grave que les constructeurs de smartphones oublient de corriger entre 1 et 4 bugs des patchs de sécurité ? Que ce soit Google ou les chercheurs derrière l’étude, tous indiquent qu’il est compliqué pour des hackers de tirer parti de ces oublis. Tout d’abord parce qu’il est plus simple de passer par les bonnes vieilles applications vérolées pour prendre, partiellement ou non, le contrôle du téléphone et ensuite qu’il faut bien souvent tirer parti de plusieurs bugs (et non pas d’un en particulier) pour compromettre la sécurité de l’appareil. Sans parler du fait que des hackers qui désirent sérieusement pirater un téléphone utilisent bien souvent des failles encore absentes des connaissances de Google.
Karsten Nohl et Jakob Lell, les deux chercheurs derrière cette étude vont présenter leurs résultats aujourd’hui à l’occasion de la conférence Hack in the Box, qui se tient Amsterdam aujourd’hui. Il devrait notamment donner les noms des marques les moins consciencieuses et expliquer les difficultés rencontrées par les constructeurs de smarpthones quant à la correction de l’intégralité des bugs des patchs de sécurité.
Ce que vous devez retenir, c’est que si votre téléphone dispose d’une certification Android (pour faire simple : appartient à une marque reconnue par Google), il y a de bonnes chances que les patchs soient souvent complets. Mais les smartphones importés de Chine ou disposant de puces d’entrée de gamme auront plus tendance à ressembler à des passoires que les autres. Si vous avez un doute sur la bonne couverture des patchs de sécurité de votre appareil Android, il existe une application qui s’occupe de faire un état des lieux : SnoopSnitch.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
