Si vous utilisez un combiné Google Pixel, votre téléphone est à l’abri de une faille de sécurité qui pourrait laisser un fichier PNG détruire complètement le système. Si vous utilisez presque n’importe quel autre combiné Android, votre téléphone est vulnérable. C’est un problème.
Google récemment a publié la mise à jour de sécurité de février pour les appareils Pixel, qui ferme un trou qui permettrait aux fichiers PNG malveillants «d’exécuter du code arbitraire dans le contexte d’un processus privilégié». En termes plus simples, le code peut s’exécuter à un niveau élevé et voler vos informations – tout ce que vous avez à faire est d’ouvrir le fichier. C’est ça.
Cela signifie que tout fichier PNG qui vous parvient – que ce soit dans un e-mail, un client de messagerie ou même via MMS – pourrait potentiellement détourner le système et voler des données précieuses. Autrement dit, sur n’importe quel téléphone qui n’est pas un Pixel, car ils sont désormais protégés. Samsung, LG, OnePlus et les combinés de la plupart des autres fabricants sont toujours sensibles à ce bogue. Nous devons commencer à obliger les fabricants à respecter des normes plus strictes en matière de mises à jour de sécurité. Période.
J’ai actuellement quatre téléphones Android à portée de main: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 et OnePlus 6T. Les deux pixels sont patchés et protégés avec la mise à jour de février, mais les S9 et 6T ne sont que sur les correctifs de sécurité de décembre. Cela signifie que toutes les vulnérabilités plus récentes, comme celle de PNG, par exemple, ne sont pas corrigées sur ces deux combinés. Étant donné que les appareils Samsung Galaxy sont parmi les téléphones les plus populaires de la planète, cela est troublant.
Mais ce n’est pas seulement un problème à cause du problème actuel. C’est un problème dynamique qui est une préoccupation constante – ou du moins il devrait l’être. Tant qu’il y aura de nouvelles vulnérabilités, les mises à jour de sécurité retardées seront toujours un problème. Donc, pour parler plus simplement: ce sera toujours un problème car les vulnérabilités sont garanties.
Bien que la «fragmentation» d’Android soit depuis longtemps un problème (depuis l’introduction de la plate-forme, essentiellement) en ce qui concerne les mises à jour complètes du système d’exploitation, cela ne devrait pas s’appliquer aux mises à jour de sécurité. Ce ne sont pas des mises à jour «les nouvelles fonctionnalités sont cool, et je les veux», ce sont des mises à jour cruciales pour la protection des données. Qu’ils soient petits ou non, ce n’est pas quelque chose qui ne devrait être négligé par aucun consommateur. Déjà.
Actuellement, les fabricants font un travail terrible pour protéger leurs utilisateurs, point final. Bien que ne pas obtenir de mises à jour complètes du système d’exploitation (ou même des versions ponctuelles) soit au mieux ennuyeux, ne pas obtenir de mises à jour de sécurité est inacceptable. Il envoie un message qui ne peut être ignoré: il dit que le fabricant de votre téléphone ne se soucie pas de vos données. Vos informations ne sont pas suffisamment importantes pour être protégées.
Les mises à jour de sécurité ne sont pas énormes comme les mises à jour complètes du système d’exploitation ou même les versions ponctuelles. Ils sont publiés tous les mois par Google, ils sont donc beaucoup plus petits et plus faciles à intégrer au système, même pour les fabricants tiers. Encore une fois, il n’y a aucune excuse réelle pour ne pas en faire une priorité.
L’année dernière, Google a exigé que les fabricants proposent au moins deux ans de mises à jour de sécurité pour les combinés. (Les téléphones Pixel sont garantis trois ans.) Le problème avec ça? Il ne nécessite que «au moins quatre» mises à jour en un an. C’est trimestriel, pas mensuel – et c’est exactement ce que font la plupart des fabricants. Le strict minimum. Et ce n’est tout simplement pas assez bon.
Pourquoi? Parce que de nouvelles vulnérabilités sont exposées en permanence. Je ne veux pas que mes données soient potentiellement compromises pendant que j’attends que le fabricant de mon téléphone se mette à préparer trois mois de correctifs de sécurité en une seule mise à jour. Je les veux dès que Google les publie, et vous devriez aussi.
Cette vulnérabilité PNG n’est qu’un exemple. Mois après mois, ces types de problèmes sont découverts, et la plupart des fabricants publiant des mises à jour de sécurité des mois plus tard, ce qui laisse vos données exposées beaucoup plus longtemps que ce qui est acceptable.
Bien que j’aurais aimé qu’il y ait une réponse facile sur la façon de résoudre ce problème, malheureusement, il n’y en a pas. Jusqu’à ce que les fabricants commencent à prendre vos informations plus au sérieux, il n’y a qu’une seule vraie réponse: acheter un autre téléphone. Apple et Google ont régulièrement prouvé qu’ils se soucient des données des utilisateurs, de sorte que les téléphones iPhone et Pixel sont tous deux d’excellents choix pour les utilisateurs qui souhaitent faire tout ce qu’ils peuvent pour protéger leurs données.
Aussi cliché que cela puisse paraître (et j’en ai vraiment marre de l’entendre): il est temps de voter avec votre portefeuille. N’achetez pas de téléphones de fabricants qui ne se soucient pas de vos données. C’est la seule façon pour eux de savoir que c’est sérieux.