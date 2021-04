Le bulletin de sécurité mensuelle pour avril 2021 annonce la correction de 36 failles de sécurité dans Android. Le patch arrive.

Avec la régularité d’un métronome, Google a partagé début avril le nouveau bulletin de sécurité mensuel pour Android. L’entreprise américaine y présente les multiples vulnérabilités identifiées dernièrement dans son système d’exploitation mobile et qui seront corrigées avec la sortie prochaine d’un patch ad hoc. 36 failles en tout seront traitées avec cette mise à jour.

Les personnes utilisant un smartphone Android doivent se tenir prêtes à télécharger et installer le patch dès qu’il sera disponible. En effet, les vulnérabilités traitées ce mois-ci par Google concernent toutes les dernières versions de l’O.S. mobile, c’est-à-dire Android 8.1 (sortie fin 2017), 9 (arrivée en août 2018), 10 (lancée septembre 2019) et 11 (déployée à partir de septembre 2020).

36 failles, toutes jugées sérieuses ou critiques

La publication du bulletin de sécurité étant très récente, et dans la mesure où le patch n’est pas encore massivement diffusé auprès des terminaux Android, le détail des vulnérabilités — 34 sont jugées sérieuses, 2 sont critiques — n’est pas donné, de façon à éviter de donner des indications à des tiers malveillants. Cette documentation sera éventuellement fournie plus tard, une fois le risque suffisamment atténué.

Concernant la vulnérabilité la plus grave, Google la décrit dans des termes relativement vagues : elle se situe dans le composant Système et, en cas d’exploitation à distance par un tiers malveillant, celui-ci pourrait exécuter un programme nuisible, en profitant d’un accès privilégié aux réglages d’Android. Cette faille spécifique affecte les versions 10 et 11 d’Android, c’est-à-dire les deux plus récentes.

Le composant Système n’est d’ailleurs pas affecté par une seule faille : sept autres sont listées au mois d’avril. Ce composant est d’ailleurs régulièrement patché par la firme de Mountain View. Le bulletin mentionne aussi des soucis dans divers compartiments de l’OS, dont le noyau, ainsi que dans des composants fournis par les équipementiers MediaTek et Qualcomm. Tous reçoivent aussi régulièrement des mises à jour.

Google n’évalue pas la gravité des vulnérabilités au doigt mouillé. Il se sert pour cela d’un barème objectif, le score CVSS. Il se calcule en tenant compte de différents critères. Par exemple, l’assaillant doit-il avec un accès physique au smartphone ou peut-il intervenir à distance ? Dans le premier cas, l’attaque informatique est beaucoup plus difficile à mettre en œuvre.

Cette évaluation suppose également qu’aucune contre-mesure dans Android ne permette d’atténuer ou de contrer l’incident, soit parce que ces barrières ont été abaissées, soit parce qu’elles ont été contournées. Le bulletin n’évoquant ni la découverte ni l’utilisation active d’une de ces brèches, c’est a priori une bonne nouvelle : cela laisse entendre qu’elles seront corrigées avant même qu’elles aient posé problème.

