Application des correctifs Android : les constructeurs mentiraient-ils ?
ven, 13/04/2018 - 15:50
Oui, selon un groupe de chercheurs allemands, le Security Research Labs (SRL), qui a réalisé une étude relayée par Wired. Pour l'occasion les chercheurs ont même inventé un terme : le patch gap. Un terme qui n'augure rien de bon...
Les chercheurs du SRL ont étudié 1200 smartphones sous Android, provenant de plus d'une douzaine de fabricants et les résultats des investigations ont de quoi faire frémir.
Comme toujours dans ce genre d'affaire, il y a les bons et les mauvais élèves. Le tableau ci-dessous résume la situation.
Si les Pixel de Google sont les premiers de la classe, le tableau va nuire à la réputation de certaines marques. D'autant plus que les commentaires des chercheurs du SRL sont plutôt dévastateurs :
"Nous constatons qu’il existe un décalage entre les revendications de correctifs et les correctifs installés sur un périphérique, décalage qui est faible pour certains périphériques et assez important pour d’autres", explique Karsten Nohl, fondateur de SRL.
Ce décalage, ce 'patch gap', a quelque chose de dérangeant. Qu'un constructeur (Samsung ou Sony par exemple) de bonne foi oublie 'par accident' de mettre en place un ou plusieurs des correctifs publiés par Google est déjà un gros problème en soi.... mais attendez de savoir la suite. Karsten Nohl précise :
"Parfois, ces gars-là ne font que changer la date sans installer de correctifs, probablement pour des raisons de marketing, ils fixent simplement le niveau de patch à une date presque arbitraire, juste pour les apparences [...] Nous avons trouvé plusieurs fournisseurs qui n'ont pas installé un seul correctif, mais qui ont modifié la date de mise à jour de plusieurs mois. C'est une tromperie délibérée. C'est une attitude peu banale".
Karsten Nohl insiste, avec raison, sur le faux sentiment de sécurité induit par de telles pratiques auprès des utilisateurs de smartphones Android. Ceux-ci, après la mise à jour de leur smartphones se croient à l'abri d'attaques dont ils avaient connaissance mais dont il ne se méfie plus. Qu'y a-t-il de pire pour la sécurité ?