Google a publié aujourd’hui son rapport de sécurité sur Android. Si le géant n’a pas chômé, constructeurs et opérateurs semblent toujours rechigner à sécuriser les smartphones de leurs clients par des mises à jour fréquentes.

Avec Android, Google a un énorme problème. Tellement énorme qu’il est devenu commun de ne pas en parler. Il peut pourtant se résumer en un tableau, que nous mettons à jour dès que Google publie ses propres chiffres sur Android.

Aujourd’hui, alors que la version O du système a été rendue publique pour les développeurs, seuls 0,4 % des utilisateurs tournent sous Android Nougat 7.1 — 2,8 % si on ajoute Android Nougat 7.0. La version d’Android la plus utilisée aujourd’hui est encore Lollipop, avec 32,1 % d’utilisateurs. Lollipop fête ses 3 ans. Nous osons à peine évoquer le 1 % des utilisateurs sous Gingerbread, qui date de 2010, et qui sont plus nombreux à faire tourner ce système obsolète que ceux qui possèdent la toute dernière version en date.

android-be-togather-but-not-the-same

Bref, Google a un problème de mise à jour. Les causes sont nombreuses : on peut citer les constructeurs partenaires qui ne mettent pas à jour leurs appareils, certains composants (coucou Qualcomm) qui ne permettent pas une mise à jour ou, le pire sûrement, les opérateurs qui rechignent à développer la version spécifique du dernier OS en date pour leurs clients. Les faits sont chiffrés, connus et pourtant, depuis la sortie d’Android, rien ou presque n’a changé : seuls les utilisateurs avancés qui savent flasher une ROM, les possesseurs de smartphones Google ou les chanceux ont un système à jour.

Et le problème n’est pas lié qu’au confort des utilisateurs qui pourraient apprécier tourner sur la dernière version en date d’un système d’exploitation. Comme nous l’avons vu à de nombreuses reprises, il est aussi question de sécurité des smartphones. Lors de l’affaire Vault 7, nous avions pris le temps d’expliquer pourquoi les mises à jour logicielles étaient nécessaires pour boucher des failles de sécurité, qu’elles soient exploitées par des services de renseignements ou toute organisation aillant pour but de nuire.

Il faut reconnaître que pour aller vers un mieux, Google n’e s’est pas tourné les pouces en 2016. Le géant a continué à proposer des mises à jour de sécurité pour ses systèmes les plus anciens — Android 4.4.4 et les versions qui suivent continuent d’être corrigés quand des failles sont découvertes. Si cela représente 86,3 % des utilisateurs, il faut encore que les constructeurs mettent en place une mise à jour critique d’un système ancien et la propose à ses utilisateurs. Google peut aujourd’hui affirmer, et c’est un premier pas intéressant, que 735 millions d’appareils ont reçu une mise à jour de sécurité en 2016. 

smartphone-android-application-zedge

Image d'illustration.

Source : Marco Verch

Et pourtant, si ce chiffre semble énorme, nous ne pouvons nous empêcher de faire la soustraction à partir des 1,4 milliard d’appareils actifs sous Android aujourd’hui, évoqués par Google en début de rapport. Cela fait 665 millions d’appareils qui n’ont pas reçu de mise à jour de sécurité en 2016, soit 47,5 % du total des appareils. Ces 665 millions d’appareils laissés pour compte par les constructeurs, les opérateurs ou Google ne sont peut-être pas des gruyères prêts à être hackés, mais ils restent pourtant des cibles faciles. Et la masse qu’ils représentent est clairement suffisante pour qu’une attaque élaborée soit rentable — qu’elle ait pour but du phishing, de l’installation de malware, adware, ransomware ou du simple vol de données.

Les chiffres donnés par Google aujourd’hui pourraient rassurer, mais il montrent en creux que la situation d’Android est encore très délicate : ce n’est pas en évoquant le mot écosystème qu’on crée un écosystème. Ici, nous avons plutôt l’impression de voir une flotte d’engins divers, sans unité, qui peinent à former une unité cohérente. Tout au plus sont-ils rassemblés sous la même bannière.

ce n’est pas en évoquant le mot écosystème qu’on crée un écosystème

Reste, peut-être, que la sanction des consommateurs n’a pas été assez lourde : si vous devez changer de smartphone sous peu et que vous faites de la mise à jour un critère non négociable de votre liste de souhaits, les choses pourraient s’améliorer, petit à petit. C’est tout ce qu’on souhaite.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !