La mise à jour logicielle devrait être, au même titre que le SAV, un droit non négociable du consommateur. Les nombreuses failles exploitées par la CIA et dévoilées dans le dossier Vault 7 de Wikileaks nous le rappellent.

Hier, Wikileaks a publié la première partie d’une nouvelle archive de documents, sortis tout droit des équipes d’informaticiens de la CIA. Il s’agit d’un ensemble de documents et de logiciels qui permettent de mener des attaques contre des cibles de l’agence d’espionnage américaine. L’arsenal employé est aussi impressionnant dans ses fonctionnalités qu’il est classique dans sa forme : il s’agit, pour la plupart des logiciels, de malwares exploitant des failles de sécurité des appareils (dites vulnérabilités 0day, donc gardées secrètes par ceux qui les exploitent). On parle de smartphones, de tablettes tactiles ou même de téléviseurs connectés, tous systèmes d’exploitation confondus.

Ce matin pourtant, Apple a déjà communiqué sur la question en affirmant que les failles les plus graves présentes sur iOS et mentionnés dans les documents de Wikileaks avaient déjà été corrigées. La dernière version d’iOS, déployée en janvier 2017, a bouché ces trous de sécurité « critiques », comme le font la plupart des mises à jour proposées par les constructeurs quand ils prennent connaissance d’une faille de sécurité de ce type. La majorité des 14 failles de sécurité mentionnées qui sont relatives à iOS ne sont donc plus des failles pour 80 % des utilisateurs qui utilisent, aujourd’hui, la dernière version du système d’exploitation mobile d’Apple.

C’est bien, mais cette déclaration est un arbre qui cache la forêt. Nous ne sommes pas sans savoir qu’Apple est un bon élève quand il est question de sécurité informatique et que le contrôle total du parc d’appareils est un avantage indéniable pour déployer des mises à jour critiques. Cela dit, Apple compte aujourd’hui pour 20 % de parts de marché de la téléphonie intelligente, ce qui laisse à peu près 80 % à Android.

Android n’est pas dans la même situation, ne dépendant pas de la bonne volonté d’un seul constructeur. Au contraire, on trouve même une multiplication des acteurs. Google propose en premier ses correctifs et les applique généralement au même rythme qu’Apple sur ses appareils — avec en plus des mises à jour dites « de sécurité » qui sont déployées à un rythme mensuel. La dernière date du 5 mars 2017. Si vous avez un smartphone « Android nu » (stock ou versions de type LineageOS) et que vous l’avez mis à jour, vous bénéficiez de cette mise à jour.

Si un smartphone Android que vous souhaitez acheter neuf ne tourne pas sur la dernière version du système d’exploitation de Google, c’est déjà mauvais signe

Si vous avez un smartphone d’une autre marque, cela se complique : il faut que le constructeur valide la version d’Android proposée par Google, l’adapte parfois à son système personnalisé, la teste et la déploie. Cela peut prendre des semaines, des mois, voire ne pas être fait du tout pour les modèles qui ne sont pas les fers de lance d’une gamme. Les engagements en la matière restent encore à être tenus.

Pire encore : si vous achetez votre smartphone chez un opérateur, il faut aussi que l’opérateur en question fasse ces étapes de validation avant de le déployer pour votre appareil. Ces derniers mois, on a vu que les Galaxy S7 vendus « nus » étaient systématiquement mis à jour avant ceux vendus avec des forfaits par les opérateurs. Nos confrères de FrAndroid tiennent un article à jour en listant les bons et les mauvais élèves de l’écosystème Google.

Version Nom de code API Distribution
2.3.3 –
2.3.7
Gingerbread 10 1 %
4.0.3 –
4.0.4
Ice Cream Sandwich 15 1 %
4.1.x Jelly Bean 16 3,7 %
4.2.x Jelly Bean 17 5,4 %
4.3 Jelly Bean 18 1,5 %
4.4 KitKat 19 20,8 %
5.0 Lollipop 21 9,4 %
5.1 Lollipop 22 23,1 %
6.0 Marshmallow 23 31,3 %
7.0 Nougat 24 2,4 %
7.1 Nougat 25 0,4 %

Est-ce le moment de s’arrêter ? Malheureusement non. Car il reste une dernière catégorie de produits qui se déploie à grande vitesse dans les maisons et dans les entreprises et qui est particulièrement déconsidérée sur les problématiques de sécurité : les objets connectés. Qu’il s’agisse de constructeurs qui n’ont pas de connaissance technique ou pas de culture de la mise à jour logicielle, le terrain des objets connectés est rempli de protagonistes qui ne prennent pas les questions de sécurité informatique au sérieux, pensant que leur intégration dans le monde numérique est naïve et bonne enfant. Problème : a priori, toute caméra, tout micro ou tout générateur de données, de votre brosse à dents à votre pot de fleur en passant par le jouet de votre enfant, s’il est connecté, peut être piraté et ses données peuvent être utilisées.

À lire sur Numerama : L’Allemagne bannit des jouets connectés qui pourraient espionner les enfants

Quand on prend conscience de cela, rien ne sert de céder à la paranoïa et de s’enfermer dans une grotte loin du monde. En revanche, un comportement sain de consommateur serait, aujourd’hui, de se renseigner sur le suivi logiciel et non plus seulement sur le SAV matériel des produits qu’on envisage d’acheter. Si un smartphone Android que vous souhaitez acheter neuf ne tourne pas sur la dernière version du système d’exploitation de Google, c’est déjà mauvais signe. Même si c’est celui qui vous tape dans l’œil, refuser de l’acheter au profit d’un modèle plus à jour et mieux maintenu est un acte qui a du sens : c’est, comme on dit, voter avec son porte-monnaie.

De manière plus macroscopique, il est aujourd’hui grand temps que les constructeurs qui se disent piliers de l’innovation technologique prennent la mesure de la nécessité des mises à jour. En 2017, les smartphones sont les réceptacles de nos vies numériques et, à ce titre, méritent la plus grande attention, le plus grand soin. Chaque jour passé à ne pas mettre à jour un smartphone Android, ne serait-ce qu’avec la dernière mise à jour de sécurité est un jour de trop. Concevoir un objet connecté qui ne peut pas se mettre à jour ou n’est pas suivi par son constructeur, c’est concevoir un objet qui ne devrait pas exister.

L’affaire Vault 7 est la plus belle piqûre de rappel que l’écosystème du tout connecté pouvait recevoir.

 

Partager sur les réseaux sociaux