Il y a deux semaines, une vulnérabilité dans Android a été découverte. Située au niveau du composant WebView, elle a fait l'objet d'un correctif pour les versions les plus récentes du système d'exploitation, à savoir KitKat (Android 4.4) et Lollipop (Android 5.0). En revanche, aucune mise à jour n'a été programmée pour les versions antérieures de la plateforme, alors qu'elles sont encore très répandues.
En effet, au regard des statistiques fournies par Google au début du mois de janvier, les branches antérieures à la version 4.4 figurent encore sur une majorité des terminaux fonctionnant avec Android. Cela concernerait environ six appareils sur dix (cette donnée est toutefois à nuancer, dans la mesure où les statistiques de Google ne prennent en compte que les dispositifs qui ont été aperçus sur Google au cours d'une période restreinte (sept jours)).
Quoiqu'il en soit, la position de Google a naturellement suscité une forte désapprobation, car elle laisse de nombreux utilisateurs dans une relative insécurité.
Devant le tollé, Google est finalement sorti de sa réserve en fin de semaine dernière. Dans un long message mis en ligne sur Google+, Adrian Ludwig, l'un des responsables de la sécurité d'Android, s'est efforcé de minimiser l'inaction de son employeur en mettant l'accent sur plusieurs faits qui ont conduit la firme de Mountain View à ne pas produire un correctif pour Android 4.3 (Jelly Bean) et les moutures précédentes. Il explique :
"Dans Webkit uniquement, il y a plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles contributions chaque mois, de sorte que dans certains cas la fourniture de correctifs de sécurité pour des branches de Webkit vieilles de deux ans nécessite de changer des portions significatives du code, ce qui n'est plus possible de faire en toute sécurité".
PAS DE CORRECTIF MAIS DES CONSEILS DE SÉCURITÉ
Est-ce que ça veut dire que les utilisateurs sont démunis face à ce problème ? Google assure que non. Ces derniers ont à disposition quelques pistes pour conserver un bon niveau de sécurité malgré l'existence de la faille.
Ainsi, un certain nombre d'usagers a certainement la possibilité de mettre à jour Android. Les terminaux qui sont éligibles aux versions 4.4 ou 5.0 du système d'exploitation n'auront plus à s'inquiéter de cette brèche, puisque celle-ci a été bouchée pour ces deux branches.
Et pour les autres ? "Il y a des mesures que les usagers peuvent suivre pour limiter le risque d'une potentielle exploitation de la vulnérabilité sans pour autant lancer la mise à jour vers Lollipop", explique Google. La principale règle à suivre est d'utiliser un navigateur web de qualité qui est maintenu à jour via Google Play. L'entreprise cite deux exemples : Google Chrome et Firefox.
Plus généralement, il est recommandé d'utiliser uniquement des applications qui respectent les bonnes pratiques en matière de sécurité informatique Dans le cas de WebView, il est conseillé d'utiliser des logiciels qui "ne chargent dans WebView que le contenu provenant de sources de confiance".
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !