Le nouveau bulletin de sécurité pour mai liste 41 vulnérabilités dans Android. Toutes seront corrigées avec un patch.

Fidèle à son planning, Google vient de partager au début du mois de mai son bulletin de sécurité mensuel pour Android, son système d’exploitation mobile. Comme d’habitude, ce patch note est dense : il liste pas moins de 41 vulnérabilités, qui seront toutes corrigées à travers la mise à jour qui arrivera dans les jours ou les semaines à venir, selon le rythme de déploiement prévu pour chaque smartphone éligible.

Le patch concernera plus spécifiquement les terminaux qui ont accès à Android 8.1 (une branche qui est sortie fin 2017), 9 (lancée en août 2018), 10 (datée de septembre 2019) et 11 (qui est en cours de déploiement depuis septembre 2020). De fait, il prend en principe en charge tous les appareils sortis depuis quatre ans, et plus, car certains modèles précédents ont pu être mis à jour entretemps.

Samsung Galaxy S10
Le Samsung Galaxy S10. // Source : Kārlis Dambrāns

Pas d’exploitation en cours signalée

Sur ces 41 failles, dont 37 sont qualifiées de sérieuses et les 4 dernières de critiques, il y a au moins une bonne nouvelle : Google ne fait pas état dans son bulletin de sécurité d’une quelconque exploitation malveillante en cours. Dans le cas contraire, il y aurait de toute façon un déploiement précipité d’un correctif dédié, hors cycle, c’est-à-dire séparé du classique patch mensuel.

Qu’il n’y ait pas de caractère d’urgence ne signifie en aucune façon qu’il faudrait remettre à plus tard la mise à jour, quand elle sera disponible. Les vulnérabilités, qui sont classées en fonction d’un barème objectif,  le score CVSS, restent très sérieuses et pourraient conduire à toutes sortes de problèmes : installation d’un logiciel malveillant, atteinte à l’intégrité ou la confidentialité des données, etc.

L’utilisation de ces vulnérabilités est toutefois loin d’être à la portée du premier venu. Elles peuvent nécessiter des préalables, comme une action particulière de l’utilisateur ou bien un accès sur le même réseau informatique, voire un accès physique. Pour que ces failles soient exploitées, il faudrait par ailleurs qu’aucune contre-mesure dans Android ne réussisse à contrer, ou du moins atténuer, leurs effets.

Partager sur les réseaux sociaux

La suite en vidéo