Alors qu'une faille de sécurité a été détectée dans un composant utilisé par Android, Google n'a pas prévu de fournir de correctif pour les versions antérieures à la branche 4.4. Devant le tollé, l'entreprise américaine a finalement expliqué plus en détail pourquoi il ne la corrigera pas.

Il y a deux semaines, une vulnérabilité dans Android a été découverte. Située au niveau du composant WebView, elle a fait l'objet d'un correctif pour les versions les plus récentes du système d'exploitation, à savoir KitKat (Android 4.4) et Lollipop (Android 5.0). En revanche, aucune mise à jour n'a été programmée pour les versions antérieures de la plateforme, alors qu'elles sont encore très répandues.

En effet, au regard des statistiques fournies par Google au début du mois de janvier, les branches antérieures à la version 4.4 figurent encore sur une majorité des terminaux fonctionnant avec Android. Cela concernerait environ six appareils sur dix (cette donnée est toutefois à nuancer, dans la mesure où les statistiques de Google ne prennent en compte que les dispositifs qui ont été aperçus sur Google au cours d'une période restreinte (sept jours)).

Quoiqu'il en soit, la position de Google a naturellement suscité une forte désapprobation, car elle laisse de nombreux utilisateurs dans une relative insécurité.

Devant le tollé, Google est finalement sorti de sa réserve en fin de semaine dernière. Dans un long message mis en ligne sur Google+, Adrian Ludwig, l'un des responsables de la sécurité d'Android, s'est efforcé de minimiser l'inaction de son employeur en mettant l'accent sur plusieurs faits qui ont conduit la firme de Mountain View à ne pas produire un correctif pour Android 4.3 (Jelly Bean) et les moutures précédentes. Il explique :

"Dans Webkit uniquement, il y a plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles contributions chaque mois, de sorte que dans certains cas la fourniture de correctifs de sécurité pour des branches de Webkit vieilles de deux ans nécessite de changer des portions significatives du code, ce qui n'est plus possible de faire en toute sécurité".

PAS DE CORRECTIF MAIS DES CONSEILS DE SÉCURITÉ

Est-ce que ça veut dire que les utilisateurs sont démunis face à ce problème ? Google assure que non. Ces derniers ont à disposition quelques pistes pour conserver un bon niveau de sécurité malgré l'existence de la faille.

Ainsi, un certain nombre d'usagers a certainement la possibilité de mettre à jour Android. Les terminaux qui sont éligibles aux versions 4.4 ou 5.0 du système d'exploitation n'auront plus à s'inquiéter de cette brèche, puisque celle-ci a été bouchée pour ces deux branches.

Et pour les autres ? "Il y a des mesures que les usagers peuvent suivre pour limiter le risque d'une potentielle exploitation de la vulnérabilité sans pour autant lancer la mise à jour vers Lollipop", explique Google. La principale règle à suivre est d'utiliser un navigateur web de qualité qui est maintenu à jour via Google Play. L'entreprise cite deux exemples : Google Chrome et Firefox.

Plus généralement, il est recommandé d'utiliser uniquement des applications qui respectent les bonnes pratiques en matière de sécurité informatique Dans le cas de WebView, il est conseillé d'utiliser des logiciels qui "ne chargent dans WebView que le contenu provenant de sources de confiance".

Partager sur les réseaux sociaux

Articles liés