Le bulletin de sécurité de Google pour mars recense 45 vulnérabilités qui bénéficient d'un correctif.

Une faille modérée, 33 vulnérabilités importantes et 11 brèches critiques. Voilà le bilan du dernier bulletin de sécurité concernant Android, que Google a mis en ligne en début de semaine. C’est trois de plus par rapport au mois précédent. En février, la firme de Mountain View avait recensé 1 faille modérée, 30 vulnérabilités importantes et 11 failles critiques.

Ces défauts de conception logicielle font l’objet de correctifs, dont le déploiement sur les smartphones et les tablettes dépend du calendrier de mise à jour propre à chaque constructeur. « Les partenaires Android sont informés de tous les incidents au moins un mois avant leur publication », précise Google. C’est donc maintenant vers eux qu’il faut se tourner pour sécuriser l’OS.

Il n’est pas démontré aujourd’hui que ces vulnérabilités sont exploitées à des fins malveillantes, ajoute l’entreprise américaine. Ce n’est toutefois pas une raison pour différer l’installation des derniers correctifs lorsque ceux-ci seront disponibles : « Les partenaires Android sont encouragés à corriger tous les problèmes dans ce bulletin et à utiliser le dernier niveau de correctif de sécurité », conseille la société.

Le OnePlus 6. // Source : Numerama

Faible suivi des mises à jour

Google, qui supervise le développement d’Android, a conscience que les patchs de sécurité mensuels destinés au système d’exploitation mobile sont déployés à un rythme très variable d’un fabricant à l’autre. Parfois, les correctifs pour tel ou tel modèle sont tout simplement abandonnés, au prétexte que ces téléphones sont trop vieux dans le catalogue de l’industriel.

Afin de mettre de l’ordre dans un écosystème qui avance en ordre très dispersé, les décideurs à Mountain View font jouer différents leviers.

L’un d’eux oblige les partenaires Android à procéder à des mises à jour régulières pendant au moins deux ans, dont au moins quatre mises à jour de sécurité lors de l’année de lancement d’un mobile. Ils sont aussi obligatoires l’année suivante, mais sans nombre minimal. Cela reste modeste dans le cas d’un OS qui reçoit chaque mois un nouveau bulletin de sécurité.

Partager sur les réseaux sociaux