Google signale qu’une vingtaine de failles de sécurité d’Android 11 sont corrigées à travers le bulletin du mois d’octobre.

Ça y est : Android 11 est désormais disponible dans sa version stable, c’est-à-dire celle pour le grand public. Et déjà, les premiers correctifs de sécurité pour la nouvelle version majeure du système d’exploitation mobile de Google arrivent. C’est ce que souligne le bulletin de sécurité d’octobre d’Android, avec 19 mises à jour ciblant la version open source d’Android 11 (AOSP 11).

Pour l’essentiel, ces patches ciblent des dysfonctionnements du système, dont un est jugée très grave par Google : cette vulnérabilité « pourrait permettre à un attaquant distant, au moyen d’une liaison spécialement prévue à cet effet, d’avoir accès à des autorisations supplémentaires » dans le smartphone, et par conséquent d’accéder à des données ou des options en principe hors d’atteinte.

Il est à noter que ces 19 correctifs pour Android ne sont pas spécifiquement réservés à la version 11 de l’OS. Selon les circonstances, les générations précédentes (8, 8.1, 9 et 10) y ont droit aussi. Outre le système d’exploitation, ces mises à jour résolvent des soucis dans l’environnement d’exécution Runtime, dans le framework donnant accès aux API, et dans le framework multimédia.

Samsung Galaxy Z Fold 2 // Source : Samsung

Samsung Galaxy Z Fold 2

Source : Samsung

48 failles concernées par le bulletin d’octobre

De façon générale, le bulletin de sécurité d’Android pour octobre mentionne un total de 48 vulnérabilités ayant un degré de dangerosité varié. La grande majorité est classée au rang de faille grave, avec 41 failles. 6 autres atteignent le palier le plus élevé, à savoir le niveau critique. Un seule est qualifiée de modérée. L’échelle de classification des risques utilisée par Google ne comporte que trois seuils.

La classification d’une faille respecte une procédure bien particulière, en fonction de l’effet que celle-ci provoquerait si elle était exploitée, à supposer que les mesures d’atténuation d’Android soient sans effet, mais aussi de l’effort qu’un attaquant doit déployer pour y parvenir. Par exemple, la difficulté n’est pas du tout la même si l’attaque se fait à distance ou si elle requiert un accès physique au terminal.

Google ne fait mention d’aucune exploitation active de l’une de ces vulnérabilités — le cas échéant, la firme de Mountain View aurait vraisemblablement déployé un patch dédié hors de son cycle habituel de mises à jour. Reste que prudence étant mère de sûreté, l’attitude la plus sage est d’appliquer le correctif dès que possible — c’est-à-dire dès que le fabricant de votre smartphone le diffuse auprès de ses clients.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.