C’est en 2020 que l’on devrait avoir des nouvelles de la prochaine version du système d’exploitation Android — Android 11, puisque Google a décidé de laisser tomber les surnoms inspirés des confiseries. D’ici là, l’entreprise doit continuer à s’occuper des branches existantes de son OS, qui sont régulièrement sujettes à des vulnérabilités techniques.
C’est justement ce que vient de faire la firme de Mountain View, le 3 février, en publiant son nouveau bulletin de sécurité mensuel dans lequel l’entreprise américaine annonce avoir corrigé 26 bugs. Les propriétaires d’un smartphone (ou d’une tablette !) Android pourront profiter de ces correctifs dans les semaines ou les mois à venir, dès qu’ils seront mis à disposition par les constructeurs de terminaux.
En comparaison des éditions précédentes, le bulletin de février est plus modeste : on ne dénombre que 26 brèches, soit dix à quinze de moins qu’au cours des trois derniers mois. La majorité de ces vulnérabilités est jugée sérieuse (c’est le cas de 23 d’entre elles). Une seule a un niveau de criticité modérée et les deux restantes atteignent le niveau maximal de gravité.
Les constructeurs alertés en amont
Exploitées par un tiers malveillant, ces malfaçons logicielles peuvent entraîner une série de risques, allant de l’atteinte à la confidentialité des données au déclenchement d’un code malveillant à distance, en passant par le déni de service, entravant le bon fonctionnement du smartphone, et l’élévation de privilèges, qui permet à un assaillant de rentrer dans des sections normalement protégées du système.
Il est à noter que 10 de ces 26 vulnérabilités concernent des composants fournis par Qualcomm, un équipementier américain incontournable dans le marché des smartphones. La gravité de ces failles est directement évaluée par l’entreprise américaine, contrairement aux autres, qui sont diagnostiquées par Google, puisqu’elles concernent directement le système d’exploitation Android.
Près de la moitié des failles concerne des composants Qualcomm
Cette évaluation est fondée sur « l’effet que l’exploitation de la vulnérabilité pourrait avoir » sur un smartphone, explique Google. L’entreprise tient aussi compte de la présence ou l’absence de mesures d’atténuation, si elles ont été désactivées ou bien contournées. Les autres paramètres incluent aussi le vecteur de l’attaque, sa complexité, la nécessité d’avoir des privilèges ou une action précise de la victime.
Comme à chaque fois, les partenaires industriels qui se servent d’Android ont été prévenus bien en amont — environ un mois avant la publication de ce compte-rendu — pour qu’ils aient assez de temps pour prendre toutes les mesures qui s’imposent. Mais en la matière, les fabricants avancent en ordre dispersé : certains publieront rapidement une mise à jour de sécurité, d’autres prendront davantage de temps.
Le détail du bulletin est consultable à cette adresse.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
