L'heure est à la mise à jour d'Android : Google vient de détailler dans un bulletin de sécurité la liste des bugs que l'entreprise corrige avec son dernier patch.

Google ne présentera pas début juin la première bêta d’Android 11, qui sortira en fin d’année — l’entreprise américaine a préféré reporter cet évènement en raison de la situation aux États-Unis, en proie à de fortes manifestations et quelques émeutes depuis l’homicide de George Floyd, un Afro-Américain tué par un policier blanc lors d’une intervention.

Mais s’il est un rendez-vous que la firme de Mountain View n’entend pas manquer, c’est la publication de son bulletin de sécurité mensuel pour Android. Il a été mis en ligne le 1er juin et liste toutes les vulnérabilités qui sont traitées avec la diffusion du prochain patch pour le système d’exploitation mobile. Sont concernées les branches 8 à 11 de l’OS, et donc toutes les marques qui proposent des smartphones avec ces versions.

La récolte pour juin est pratiquement équivalente à celle survenue le mois dernier, puisque l’on dénombre 35 vulnérabilités pour le correctif du mois, soit quatre de moins qu’en mai. Comme la fois précédente, la quasi-totalité des bugs est qualifiée de grave, voire critique : 29 de ces failles sont classées au rang « haut » et 4 au rang « critique ». La dernière présente une menace « modérée ».

Le nouveau patch sera progressivement rendu disponible par chaque constructeur, selon son planning. // Source : Motorola

Pour estimer le degré de dangerosité d’une brèche, Google s’appuie sur un référentiel et des critères d’évaluation. Ce n’est en effet pas la même chose que d’attaquer une cible s’il faut un accès physique à son terminal ou s’il est possible d’exécuter une opération depuis Internet. Idem s’il faut au préalable que la victime effectue une action précise ou s’il existe des parades pour atténuer la menace.

Des vulnérabilités diverses

Un peu moins de la moitié de ces vulnérabilités concerne des composants fournis par Qualcomm. Rien d’étonnant : l’équipementier américain est un fournisseur-clé pour le marché des smartphones, qu’il s’agisse des systèmes sur une puce (comme la gamme Snapdragon), de modems pour la 3G, la 4G et bientôt la 5G, ainsi que liaisons sans fil en Bluetooth ou en Wi-Fi.

Le détail des incidents affectant les composants de Qualcomm n’est pas précisé. C’est ce dernier qui se chargera d’en faire la description, ultérieurement, dans son propre bulletin de sécurité. Par contre, celui de Google fournit des renseignements sur les autres problèmes qui sont adressés avec le patch de juin : ils portent sur le noyau du système d’exploitation, la liaison sans fil en Wi-Fi, la caméra, et l’affichage.

Exploitées par des tiers malveillants, ces brèches pourraient avoir différentes incidences très négatives pour la victime : la confidentialité de ses données pourrait être remise en cause, avec des photos ou des vidéos dérobées, ou bien des informations incluses dans d’autres applications. Elles pourraient aussi permettre l’exécution d’un virus à distance ou servir à accéder à des parties sensibles d’Android.

La disponibilité du correctif sera progressive, en fonction du calendrier de mise à jour de chaque constructeur.

Partager sur les réseaux sociaux

La suite en vidéo