Google annonce un bulletin de sécurité pour Android au mois de mai qui comble 39 failles de sécurité.

Crise sanitaire ou pas, Google continue de corriger chaque mois plusieurs dizaines de failles de sécurité dans Android. Mai ne déroge pas à cette règle. Malgré le confinement et le télétravail, la firme de Mountain View continue, avec l’aide de ses partenaires industriels, de fournir des correctifs pour son système d’exploitation mobile. C’est ce que révèle le dernier bulletin de sécurité de l’O.S., publié le 4 mai 2020.

De gravité variable, les 39 vulnérabilités traitées étaient nichées à divers endroits, dont le noyau du système d’exploitation, mais aussi dans des composants de fournisseurs tiers, comme MediaTek et Qualcomm. Elles affectaient par exemple le pilote pour adaptateur PCAN-USB, l’outil de suivi des incidents Omacp ou encore des fonctions liées à la vidéo, à l’affichage et au réseau sans fil.

39 failles repérées, dont 38 graves

Sur ces failles, 35 d’entre elles ont été classées au rang « haut », qui est le deuxième degré de gravité sur une échelle qui en compte trois. Il y en a 3 qui sont qualifiées de « critiques », qui est la catégorie la plus grave. La dernière vulnérabilité est « modérée ». Google précise qu’elles concernent les trois dernières grandes versions de l’O.S., c’est-à-dire celles sorties depuis 2017 (Android 8, 9 et 10).

Ces classifications ne se font pas au doigt mouillé. Elles reposent sur un référentiel et des critères d’évaluation pour jauger la gravité d’une brèche si elle est exploitée par un tiers malfaisant : existe-t-il des mesures d’atténuation ? Faut-il avoir un accès physique ou est-il possible de faire l’attaque à distance ? Est-ce que la victime doit faire une action préalable ? Une note est attribuée à la fin, sur dix.

OnePlus 7 Pro // Source : Ulrich Rozier pour Numerama

Les failles corrigées avec le patch du mois de mai pourraient servir à mettre en péril la confidentialité des données du smartphone, comme les photos ou les vidéos, mais aussi potentiellement le contenu des applications. Elles pourraient aussi servir à lancer du code malveillant à distance ou à modifier l’accès à Android pour atteindre des parties sensibles de l’O.S., via l’élévation de privilèges.

Comme toujours avec Android, l’hétérogénéité prime en matière de mise à jour. Certains constructeurs sont très rigoureux dans la mise à disposition rapide des patchs, tandis que d’autres fabricants temporisent. Les smartphones de marque Google, OnePlus, Samsung, Sony et Nokia sont considérés comme les bons élèves. Ceux de Sharp, Lenovo ou encore Redmi ferment la marche.

Partager sur les réseaux sociaux