Google publie son nouveau bulletin de sécurité mensuel pour Android. Pour la première fois depuis plusieurs mois, il n'y a que des failles sérieuses ou critiques.

Les mois passent, les bulletins de sécurité de Google pour Android se succèdent. Mais une fois n’est pas coutume, l’avis émis par la firme de Mountain View pour le mois de juillet 2020 se démarque des précédents par l’absence de vulnérabilité modérée dans la liste des bugs — il n’y a en effet que des brèches sérieuses ou critiques dans la fiche mensuelle que le public peut consulter.

Dans le détail, Google mentionne 24 défaillances : 17 sont classées au rang « haut » et les 7 dernières sont de gravité « critique ». Il s’agit des deux niveaux les plus élevés qu’utilise la société américaine pour qualifier le degré de dangerosité d’une brèche. Le stade le moins problématique concerne les menaces modérées. La dernière fois qu’un bulletin n’en incluait aucune, c’était en septembre 2019.

Si une telle absence n’est pas exceptionnelle, elle n’est pas pour autant courante. Depuis que Google propose des bulletins de sécurité mensuels, que l’on peut consulter à loisir dans ses archives, on trouve cette mention dans tous les avis de 2015 et 2016, mais aussi dans la majorité de ceux émis en 2017 et 2019. 2018 fait figure d’exception, avec sept bulletins mensuels qui n’en contenaient pas non plus.

Détail d’un smartphone fonctionnant avec Android. // Source : Motorola

Des failles qui viennent souvent d’équipementiers

Cette observation ne préjuge pas de la qualité apportée à la sécurisation d’Android : c’est le reflet des aléas du développement d’un système d’exploitation très complexe, qui dialogue avec d’autres composants et logiciels, dont certains sont en outre fournis par des tiers. Il n’est pas rare que nombre de problèmes concernent des éléments fournis par des équipementiers comme Qualcomm et MediaTek.

D’ailleurs, la moisson de juillet 2020 ne déroge pas à cette règle : sur les 24 failles listées, 12 concernent Qualcomm et MediaTek. Ce n’est certes pas absolument absurde : l’un et l’autre sont des fournisseurs importants du marché des smartphones. Qualcomm, par exemple, arrose le marché avec des processeurs (la gamme Snapdragon est d’ailleurs très réputée), de modems pour la 3G, la 4G, la 5G, le Bluetooth ou le Wi-Fi.

Par ailleurs, l’estimation du degré de dangerosité d’une brèche ne se fait pas au doigt mouillé. Elle mobilise un référentiel et des critères d’évaluation : la faille requiert-elle par exemple un accès physique au terminal de la cible ? Peut-on au contraire l’exploiter à distance, via Internet ? Faut-il au préalable que la victime exécute une action précise ? Quid d’éventuelles mesures d’atténuation ?

Pour cette édition, ce sont les branches 8 à 10 d’Android qui sont concernées et donc par ricochet toutes les marques qui proposent des smartphones avec ces versions. On trouve aussi des vulnérabilités liées aux firmwares de Qualcomm, à la liaison sans fil en Wi-Fi ou encore au noyau de l’OS. La disponibilité du patch se fera progressivement, en fonction du calendrier de mise à jour de chaque constructeur.

Partager sur les réseaux sociaux

La suite en vidéo