Certains constructeurs Android trichent avec les MÀJ de sécurité

Security Research Labs GmbH dénonce les tricheurs

Samsung, HTC, Motorola et bon nombre d’autres constructeurs de smartphones ont été attrapés la main dans le sac en train de mentir sur les mises à jours de sécurité déployés sur leurs smartphones.

Android 900

Votre téléphone pourrait être moins sécurisé que vous ne le pensez. En effet, deux chercheurs allemands de l’entreprise Security Research Labs GmbH ont mis le doigt sur un souci pour le moins embêtant : certains constructeurs de smartphones Android mentent quant à la version des patchs de sécurité déployés sur leurs appareils. Ces petits bouts de codes que Google distribue tous les mois sont censés protéger Android des dernières failles de sécurité découvertes sur la plateforme et ont été désolidarisés des mises à jour « majeures » depuis quelque temps.

Et si certains constructeurs comme Google ou BlackBerry ont mis un point d’honneur à déployer ces correctifs tous les mois, d’autres sont un peu moins zélés. Quant à d’autres, ils affirment carrément être à jour alors qu’ils ne le sont pas vraiment. Comme l’expliquent Karsten Nohl et Jakob Lell, les deux chercheurs de la firme responsable de cette découverte, certains constructeurs clament être à jour avec les derniers patchs disponibles alors qu’en réalité seulement une partie des correctifs disponibles ont été installés et appliqués sur l’appareil. Dans certains cas, il ne manquait que 1 ou 2 correctifs sur le lot alors que dans d’autres c’est plus d’une dizaine qui n’avaient pas été appliqués. Et dans au moins un cas, un constructeur a purement et simplement affirmé qu’il avait déployé une nouvelle version des patchs alors qu’en réalité aucun des correctifs qu’il contenait n’avait été installé.

De grands noms concernés

Et cela ne concerne pas que de sombres constructeurs inconnus et aux pratiques douteuses. Les deux chercheurs ont épinglé de grands noms comme Samsung, Motorola et HTC. Un téléphone comme le Galaxy J3 2016, par exemple, avait par exemple 12 correctifs en moins par rapport à ce que le mobile annonçait, dont deux « critiques ». Face à ce genre de pratiques, le problème est double. Tout d’abord, il est évidemment regrettable que les constructeurs se permettent ce genre de liberté et trompent les consommateurs. Deuxièmement, cela laisse des téléphones plus vulnérables qu’on ne pense à certaines failles de sécurité.

L’analyse des patchs de sécurité d’un Galaxy S6 Edge+

D’après les découvertes de la firme, les meilleurs élèves sont Google, Sony Samsung et Wiko, auxquels il ne manque en général pas de correctif, ou un seul. Xiaomi, OnePlus et Nokia en oublient en moyenne 1 à 3, HTC, Huawei, LG et Motorola 3 à 4 et, à la fin du classement, TCL et ZTE en oublient plus de 4. En général, ce sont les mobiles équipés de puces Mediatek qui sont les moins bien lotis, soit le plus souvent les mobiles bas de gamme. Une division quelque peu gênante qui est en partie due a la promptitude des constructeurs de puces à adapter les correctifs de sécurité à leur plateforme.

Des risques à relativiser

Cependant l’affaire est moins grave qu’il n’y paraît. Certes, les correctifs de sécurité sont des éléments importants de la sécurité sur Android, mais ils ne sont pas les seuls. D’autres mécanismes sont mis en place sur l’OS pour lutter contre les attaques. Dernièrement, la plupart des attaques visant Android ont été exécutées à l’aide de malwares embarqués dans des applications plutôt qu’en exploitant les faiblesses intrinsèques de l’OS. Ceux qui cherchent malgré tout à savoir à quel point leur appareil est vulnérable pourront installer l’application SnoopSnitch développée par Security Research Labs GmbH. Cette dernière a été récemment mise à jour pour lister les correctifs de sécurité déployés sur le mobile.

Laisser un commentaire

Votre adresse email ne sera pas publiée.