En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.
Pour en savoir plus et paramétrer les cookies… Fermer

publicité

Smartphones Android : l'escroquerie des constructeurs sur les patchs


Sécurité : Une enquête menée par les chercheurs allemands de SR Labs fait le point sur les patchs effectivement diffusés par les constructeurs de smartphones Android. Surprise : certains constructeurs n’hésitent pas à mentir purement et simplement sur les patchs qu’ils appliquent.

Les patchs dans l’écosystème Android sont souvent une question compliquée. Ceux-ci doivent en effet passer par plusieurs étapes et entre les mains de différents acteurs avant de parvenir enfin aux utilisateurs finaux. Ce circuit, parfois complexe, occasionne souvent des retards et des délais dans la diffusion des correctifs. Pendant ce laps de temps, l’utilisateur reste ainsi vulnérable face à certaines failles de sécurité.

La situation était déjà complexe, mais comme le soutiennent plusieurs chercheurs allemands, certains constructeurs n’hésitent pas à mentir purement et simplement sur les patchs qu’ils diffusent à leurs utilisateurs. Les chercheurs de SR Labs Karsten Nohl et Jakob Lell ont présenté lors d’une conférence qui se déroulait à Amsterdam les résultats de leurs recherches menées pendant plus de deux ans sur l’effectivité des patchs sur Android. Concrètement, les deux chercheurs ont tenté de déterminer de façon concrète quels correctifs avaient été réellement appliqués sur les téléphones, sans se fier uniquement au numéro de version affiché par l’appareil.

Wiko parmi les bons élèves

Et ils ont eu quelques surprises. Comme le relate Wired, les deux chercheurs ont constaté que des patchs manquaient à l'appel sur certains smartphones, et ce bien que le téléphone affiche que l’ensemble des patchs ont été appliqués et que celui-ci est à jour. « Parfois, les constructeurs se contentent de changer la date d’affichage, sans installer de patch correspondant. Purement pour des raisons marketing » explique Karsten Nohl dans des propos rapportés par Wired.

 

Les chercheurs de SR Labs ont testé plus de 1200 smartphones provenant d’une douzaine de constructeurs, afin de voir si tous appliquaient bien les patchs de sécurité diffusés par Google en 2017. Ils ont ensuite classé les différents fabricants selon le nombre de correctifs manquant détectés. Leur classement révèle quelques surprises : dans le haut du panier, on retrouve évidemment Google, aux côtés de Sony et Samsung, mais aussi Wiko, qui se place ici dans les bons élèves en matière de sécurité. Plus inquiétant en revanche, d’autres constructeurs importants de l’écosystème Android n’hésitent pas à « oublier » des patchs : Xiaomi, Oneplus et Nokia ont ainsi laissé passer entre 1 et 3 correctifs cette année, tandis que HTC, Huawei, LG et Motorola en ont ignoré 3 ou 4.

Android : toujours plus complexe que ça en a l’air

Les raisons expliquant ces 'oublis' sont multiples : les chercheurs expliquent avoir remarqué que le nombre de patchs non installés était notamment influencé par le processeur utilisé par le terminal. Des bugs au niveau du processeur peuvent en effet venir bloquer l’installation de certains patchs. Les smartphones d'entrée de gamme, ayant massivement recours aux puces fournies par la société Mediatek, sont ainsi plus susceptibles de manquer certains correctifs. Outre cet aspect, Google explique également que certains modèles peuvent avoir décidé de faire l'impasse sur un patch qui corrigeait un bug dans une fonctionnalité dont ils sont dépourvus.

L’absence de certains patchs ne remet pas complètement en question la sécurité des smartphones Android. Google précise que plusieurs outils ont été déployés au sein de l'OS mobile pour empêcher l’exploitation de certaines vulnérabilités. Mais un patch manquant peut faciliter la tâche d’un attaquant, et l’utilisateur devrait au moins pouvoir être informé de ces lacunes. L’étude de SR Labs montre que sur le front des correctifs de sécurité, l’écosystème Android est encore loin d’être exemplaire.

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

1 réponse
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • caque écosystème a ses "escroqueries", donc
publicité