Suite à la découverte d’une faille de sécurité sur Android, Google a publié un correctif qui ne s’applique qu’aux versions les plus récentes de son système d’exploitation. Ce qui laisse 60 % des terminaux en circulation potentiellement exposés... mais le géant américain a donné les motifs de cette décision controversée.

au sommaire

    Il y a deux semaines, une vulnérabilité dans AndroidAndroid a été découverte. Située au niveau du composant WebView, elle a fait l'objet d'un correctif pour les versions les plus récentes du système d'exploitation, à savoir KitKat (Android 4.4) et Lollipop (Android 5.0). En revanche, aucune mise à jour n'a été programmée pour les versions antérieures de la plateforme, alors qu'elles sont encore très répandues.

    En effet, au regard des statistiques fournies par Google au début du mois de janvier, les branches antérieures à la version 4.4 figurent encore sur une majorité des terminaux fonctionnant avec Android. Cela concernerait environ six appareils sur dix (cette donnée est toutefois à nuancer dans la mesure où les statistiques de GoogleGoogle ne prennent en compte que les dispositifs qui ont été aperçus sur Google au cours d'une période restreinte (sept jours). Quoi qu'il en soit, la position de Google a naturellement suscité une forte désapprobation, car elle laisse de nombreux utilisateurs dans une relative insécurité.

    Mise à jour conseillée, pour ceux qui le peuvent…

    Devant le tollé, Google est finalement sorti de sa réserve en fin de semaine dernière. Dans un long message mis en ligne sur Google+, Adrian Ludwig, l'un des responsables de la sécurité d'Android, s'est efforcé de minimiser l'inaction de son employeur en mettant l'accent sur plusieurs faits qui ont conduit la firme de Mountain View à ne pas produire un correctif pour Android 4.3 (Jelly Bean) et les moutures précédentes. Il explique : « Dans Webkit uniquement, il y a plus de 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles contributions chaque mois, de sorte que dans certains cas la fourniture de correctifs de sécurité pour des branches de Webkit vieilles de deux ans nécessite de changer des portions significatives du code, ce qui n'est plus possible de faire en toute sécurité. » Cela signifie-t-il que les utilisateurs sont démunis face à ce problème ? Google assure que non. Ces derniers ont à disposition quelques pistes pour conserver un bon niveau de sécurité malgré l'existence de la faille.

    Ainsi, un certain nombre d'usagers a certainement la possibilité de mettre à jour Android. Les terminaux qui sont éligibles aux versions 4.4 ou 5.0 du système d'exploitation n'auront plus à s'inquiéter de cette brèche, puisque celle-ci a été bouchée pour ces deux branches. Et pour les autres ? « Il y a des mesures que les usagers peuvent suivre pour limiter le risque d'une potentielle exploitation de la vulnérabilité sans pour autant lancer la mise à jour vers Lollipop », explique Google. La principale règle à suivre est d'utiliser un navigateur Web de qualité qui est maintenu à jour via Google Play. L'entreprise cite deux exemples : Google Chrome et Firefox. Plus généralement, il est recommandé d'utiliser uniquement des applicationsapplications qui respectent les bonnes pratiques en matièrematière de sécurité informatique. Dans le cas de WebView, il est conseillé d'utiliser des logiciels qui « ne chargent dans WebView que le contenu provenant de sources de confiance ».