Share
Google répare la faille d’Android avec « la plus grosse mise à jour logicielle jamais déployée »

Google répare la faille d’Android avec « la plus grosse mise à jour logicielle jamais déployée »

La semaine dernière, l’entreprise de sécurité informatique Zimperium annonçait avoir identifié une faille de sécurité du système d’exploitation Android qui affectait potentiellement plus de 950 millions de terminaux en circulation.

Un terrible trou dans la sécurité de l’OS de Google, qui a néanmoins su réagir extrêmement rapidement pour boucher cette faille critique et qui est en ce moment en train de lancer « la plus grosse mise à jour logicielle jamais déployée ».

Il faut dire qu’il suffisait seulement de recevoir un MMS malicieux pour qu’un pirate puisse prendre le contrôle de votre smartphone si vous utilisiez l’application Hangouts pour gérer vos SMS/MMS.

Une semaine à peine de travail aura permis aux équipes spécialisées dans la sécurité informatique chez Google pour développer un patch et le déployer sur l’ensemble des terminaux Nexus, ces derniers profitant des toutes dernières mises à jour d’Android avant la plupart des téléphones des autres constructeurs tiers. Des millions de ces autres téléphones devraient bénéficier de cette mise à jour dans les semaines qui suivent, selon le bon vouloir des fabricants plus ou moins attentifs à la sécurité de leurs clients.

« Nous sommes au milieu de ce qui est, je pense, la plus grosse mise à jour logicielle que le monde ait jamais vu. Nous ne savons pas ce qui se passe dans un écosystème logiciel où tout est différent. Cela n’est encore jamais arrivé auparavant. »

C’est par ces mots que s’est adressé Adrian Ludwig, l’un des responsables de la sécurité d’Android chez Google, aux visiteurs de la conférence Black Hat qui a en ce moment lieu à Las Vegas.

Bien que le code source d’Android soit ouvert et disponible afin que tout un chacun puisse y détecter des erreurs, et bien que l’équipe responsable de ce projet chez Google est composée d’ingénieurs de pointe travaillant dur pour éviter à tout prix que ce genre de faille ne puisse poser problème aux utilisateurs du système d’exploitation de Google, il est difficile de garantir la sécurité d’une plateforme utilisée par plus de 950 millions d’utilisateurs possédant des versions différentes d’Android.

Néanmoins, ce genre de situation montre que Google sait se montrer très réactif en ce qui concerne la correction d’une faille de sécurité critique identifiée au sein de son système d’exploitation maison. Il va être par contre intéressant de suivre quels sont les constructeurs qui vont ensuite déployer le plus rapidement les mises à jour sur leurs terminaux, voire même ceux qui ne vont sortir aucune mise à jour. Cela fera une bonne liste des fabricants de smartphone Android à éviter à l’avenir !

Source

2 Commentaires sur cet article

  1. Ayant eu la folle idée d’acheter mon HTC One M7 via une promo Sosh, autant dire que je n’aurai jamais cette maj si je me contente de l’attendre. Orange y va de sa petite surcouche, jamais mise à jour (quel intérêt de faire ça, gros con d’opérateur?), et si je ne me plonge pas dans du root + S-OFF + installation de ROM, je reste avec ma faille de sécurité béante, quand bien même HTC y mettrait du sien.

    Je pense sincèrement que cette affaire révèle les limites de la politique de Google concernant Android. Ils n’ont absolument aucun contrôle sur le déploiement des MAJs, totalement dépendantes du bon vouloir des fabricants et opérateurs. Conclusion: je vais perdre encore 3h de ma vie pour changer ma ROMs, et des milliers de « Monsieur Tout-le-monde » vont se retrouver équipés d’un smartphone avec une option « faille de sécurité béante ». Il serait peut-être temps de revoir la politique de la maison concernant les surcouches…

    Répondre
  2. Il y a une condition importante : ne sont affectés que ceux qui utilisent hangout pour les sms/mms au lieu de l’application standard.
    Du coup, puisque c’est une appli qui est concernée (Hangouts) les MAJ devraient arriver immédiatement via le GooglePlay, non ?

    Répondre

Laisser un commentaire