Le vrai problème de sécurité d’Android réside dans les fabricants



Si vous possédez un smartphone Google Pixel, votre appareil est protégé contre une faille de sécurité potentiellement dévastatrice, qui pourrait être exploitée par un simple fichier PNG pour compromettre l’ensemble de votre système. Malheureusement, la plupart des autres téléphones Android sont vulnérables à cette menace. Ce constat est alarmant.

Récemment, Google a déployé la mise à jour de sécurité de février pour ses appareils Pixel, corrigeant ainsi une brèche qui permettait à des fichiers PNG malveillants d’exécuter du code arbitraire au sein d’un processus privilégié. En d’autres termes, un code malveillant pourrait s’infiltrer à un niveau élevé, dérober vos informations personnelles simplement en ouvrant une image. La manipulation est aussi simple que cela.

Cela signifie qu’un fichier PNG reçu par email, via une application de messagerie ou même par MMS, pourrait potentiellement prendre le contrôle de votre appareil et subtiliser vos précieuses données. Cette menace plane sur tous les téléphones non-Pixel, les appareils Google étant désormais immunisés. Les téléphones Samsung, LG, OnePlus et la plupart des autres marques restent exposés à cette vulnérabilité. Il est urgent d’exiger des constructeurs qu’ils adoptent des normes plus rigoureuses en matière de mises à jour de sécurité. C’est un impératif.

J’ai actuellement quatre smartphones Android à portée de main : un Pixel 2 XL, un Pixel 1, un Samsung Galaxy S9 et un OnePlus 6T. Mes deux Pixel ont été mis à jour et sont protégés grâce au correctif de février, tandis que le S9 et le 6T sont toujours limités aux correctifs de sécurité de décembre. Cela signifie que ces deux derniers appareils ne sont pas protégés contre les vulnérabilités récentes, comme celle liée aux fichiers PNG. Le fait que les appareils Samsung Galaxy soient parmi les téléphones les plus populaires au monde rend cette situation particulièrement préoccupante.

Le problème ne se limite pas à cette faille spécifique. Il s’agit d’un enjeu constant et évolutif, qui devrait être une préoccupation majeure. Tant qu’il existera de nouvelles vulnérabilités, le retard pris dans les mises à jour de sécurité continuera de poser problème. En clair, les vulnérabilités étant inévitables, ce problème sera toujours d’actualité.

Bien que la « fragmentation » d’Android (une caractéristique existante depuis l’apparition de la plateforme) soit depuis longtemps un problème pour les mises à jour complètes du système d’exploitation, cette situation ne devrait pas s’appliquer aux mises à jour de sécurité. Celles-ci ne sont pas de simples mises à jour visant à proposer de « nouvelles fonctionnalités intéressantes ». Elles sont essentielles pour protéger vos données. Qu’elles soient mineures ou non, les consommateurs ne doivent pas les négliger. C’est un point non négociable.

Actuellement, les fabricants font un travail déplorable en matière de protection de leurs utilisateurs. C’est un fait. Si l’absence de mises à jour complètes du système d’exploitation ou de versions intermédiaires peut être considérée comme gênante, le manque de mises à jour de sécurité est tout simplement inacceptable. Cela envoie un message clair: le constructeur de votre téléphone ne se soucie pas de vos données. Vos informations ne sont pas assez importantes pour être protégées.

Les mises à jour de sécurité ne sont pas aussi volumineuses que les mises à jour majeures du système d’exploitation. Google les publie mensuellement, ce qui les rend plus petites et plus faciles à intégrer au système, même pour les fabricants tiers. Encore une fois, il n’y a aucune justification valable pour ne pas en faire une priorité.

L’année dernière, Google a exigé que les constructeurs fournissent au moins deux ans de mises à jour de sécurité pour leurs téléphones. (Les téléphones Pixel bénéficient d’une garantie de trois ans.) Le hic ? Cette exigence se limite à « au moins quatre » mises à jour par an. Cela équivaut à une mise à jour trimestrielle, et c’est exactement ce que la plupart des fabricants font : le strict minimum. Cela n’est tout simplement pas suffisant.

Pourquoi? Parce que de nouvelles vulnérabilités sont découvertes en permanence. Je ne souhaite pas que mes données soient potentiellement compromises pendant que j’attends que le fabricant de mon téléphone prépare une unique mise à jour regroupant trois mois de correctifs de sécurité. Je veux recevoir ces correctifs dès que Google les publie, et vous devriez en faire autant.

Cette vulnérabilité liée aux fichiers PNG n’est qu’un exemple parmi d’autres. Chaque mois, ce type de problème est découvert, et la plupart des fabricants ne publient les mises à jour de sécurité que des mois plus tard, laissant ainsi vos données exposées plus longtemps que ce qui est acceptable.

J’aimerais pouvoir proposer une solution simple pour résoudre ce problème, mais malheureusement, il n’en existe pas. Tant que les fabricants ne prendront pas vos informations plus au sérieux, la seule véritable solution est de changer de téléphone. Apple et Google ont prouvé à maintes reprises qu’ils se soucient des données de leurs utilisateurs. Les téléphones iPhone et Pixel sont donc d’excellents choix pour les utilisateurs soucieux de protéger leurs informations.

Même si cela peut sembler cliché (et je suis fatigué de l’entendre) : il est temps de faire entendre votre voix avec votre portefeuille. N’achetez pas de téléphones auprès de fabricants qui ne se soucient pas de vos données. C’est la seule manière de leur faire comprendre l’importance de cet enjeu.