Android : Google bouche encore plus d'une centaine de failles

Android : Google bouche encore plus d’une centaine de failles

L'été est bien chaud

106

Android : Google bouche encore plus d'une centaine de failles

En ce début de mois d'août, Google corrige plus d'une centaine de failles sur Android. Les mises à jour OTA débutent pour les Nexus éligibles, tandis qu'AOSP a été mise à jour. Comme toujours, de nombreux terminaux n'en profiteront pas.

Google vient de mettre en ligne son bulletin de sécurité pour le mois d'août. Comme c'était déjà le cas en juillet, il n'est pas bon, puisqu'il regroupe encore plus d'une centaine de failles de sécurité. Cette fois encore, il est découpé en deux parties identifiées : 2016-08-01 et 2016-08-05.

Plus de 100 failles et deux niveaux de mises à jour, exactement comme en juillet

La première concerne Android au sens large avec pas moins de 22 failles de sécurités, dont 3 sont critiques, notamment car elles permettent l'exécution de code à distance. Le Mediaserver est largement touché puisqu'il regroupe plus de la moitié des brèches. Pour le reste, il est notamment question d'OpenSSL, du Wi-Fi et du Bluetooth.

De son côté, le second lot de correctifs estampillé 2016-08-05 reprend l'ensemble des patchs précédents, et comble pas moins de 81 failles supplémentaires au passage. Cette fois-ci, ce sont des composants plus spécifiques provenant de chez Qualcomm, NVIDIA, ION, LG et MediaTek qui sont particulièrement visés. 43 des 81 failles sont annoncées comme étant critiques.

Au total, pas moins de 103 failles d'Android ont été corrigées en ce mois d'août par Google. Dans le lot, un peu moins de la moitié sont jugées critiques. Dans tous les cas, le détail des vulnérabilités et des versions d'Android concernées est disponible ici.

Certains Nexus et AOSP à jour, reste aux fabricants à déployer les mises à jour

Les fabricants ont le choix d'appliquer un des deux patchs, le second étant évidemment le plus complet puisqu'il englobe le premier. C'est d'ailleurs celui utilisé par Google pour la mise à jour OTA qui est en train d'être déployée sur les Nexus qui sont encore supportés.

Voici la liste des modèles concernés : Nexus 5 et 5X, Nexus 6 et 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player et Pixel C. Vous pouvez également télécharger les images d'usines d'Android pour les terminaux Nexus directement depuis cette page. Rien pour les anciens modèles comme le Nexus 4. 

Android Open Source Project (AOSP) a aussi été mis à jour et les partenaires de Google ont été prévenus le 6 juillet au plus tard du contenu de ce bulletin. Mais le problème est toujours le même : il faut que les constructeurs déploient la mise à jour à leurs clients... ce qui n'est malheureusement pas toujours fait, loin de là même. Pour rappel, seuls 15 % des smartphones fonctionnent sous Android 6.0, et ce, alors qu'Android 7.0 devrait arriver très rapidement.

 

Commentaires (106)


Comme mon LG G4 :(



Je crois que mes prochains tels seront Nexus only (surtout si il ont des bonnes caméras et une bonne batterie)


J’en profite pour poser une question aux connaisseurs : Si j’ai un smartphone non mis à jour par mon constructeur (par ex. Samsung), vaut-il mieux rester sur la version constructeur, ou bien passer à autre chose ?



D’un point de vue sécurité, ça me semble tellement stupide cette histoire de non mise à jour… mais d’un autre côté, est-ce que c’est facile de réinstaller un Android sur un smartphone ? Il n’y a pas de problème d’incompatibilité, de puissance de la machine, etc. ?



Et niveau utilisation, les ajouts des constructeurs sont plutôt positif, ou ils ne servent pas à grand chose ?


Batterie ça dépends de ce que tu en fait, mais c’est acceptable dans mon cas. La caméra fait du bon taf (j’ai un nexus 5x)



Ce que je lui reproche seulement, c’est le manque de SD (j’écoute bcp de musique, en en stream ma data suffit peu, surtout que j’ai pas tout le temps accès à la 4G), et le manque de tuner radio



À part ça, c’est vraiment de bons devices :-)


CyanogenMod, sans hésiter. Si tu as un tel haut de gamme/très bien vendu, tu auras toutes les mises à jour Android AOSP bien avant que les constructeurs réagissent.



Smartphone LG < 2014  : Android 6.1


“Pour rappel, seuls 15 % des smartphones fonctionnent sous Android 6.0,”



Je croyais que Google proposais les MàJ de sécurité pour les Android 5.x et 6.x

C’est plus le cas ??


C’est bien beau que Google mette à jour son OS, mais faudrait que les constructeurs suivent, car la grosse majorité des appareils ne sont pas maintenus par leurs constructeurs… Mes Wiko Cink+ et Lenovo IdeaTab A1000L n’ont jamais eu de mise à jour depuis respectivement Android 4.1 et 4.2 par exemple, et pour trouver un CyanogenMod bonjour.



Je crois même que seul Google fait du suivi à long terme, même Samsung n’en fait pas très longtemps il me semble…


Google a déjà, de ma compréhension des choses, “externalisé” une bonne partie des composants d’Android dans les Play Services afin de pouvoir plus facilement les mettre à jour sans dépendre des constructeurs. Ne pourrait-il pas continuer sur cette voie pour couper l’herbe sous le pied des constructeurs qui n’arrivent pas même lentement à faire ce que des bénévoles font rapidement ?


Google fournit le code source, c’est aux OEM de l’appliquer.


C’est pour ça qu’il ne faut pas acheter de marque de merde. Et il vaut mieux préférer un tel très haut de gamme et très bien vendu pour être tranquille niveau suivi sur CyanogenMod.



Et si vous avez pas le budget, prendre le très haut de gamme d’il y a 2-3 ans.


Sauf qu’un téléphone me sert principalement à téléphoner, je ne veux pas de Samsung (je n’aime pas l’entreprise) et j’ai pas envie de foutre le prix d’un bon PC dans un portable.


Est ce que c’est facile ? non, si tu compares à un pc (c est habituellement le seul point de comparaison).

Faut déverrouiller le bootloader, etc… il va falloir passer du temps sur les forums à chercher comment faire sur ton modèle, et c’est pas forcement très accessible (je l’ai fait sur mon ancien mobile, et ça fait 2 ans que j’ai la flemme de le faire sur le “nouveau”)

Et puis faut trouver quelle ROM installer, si t’as un modèle assez populaire t’aura la chance de pouvoir mettre une cyanogen, sinon tu vas tomber dans un jungle de roms dont les différences sont pas toujours très claires.



Au sujet de l’apport des ajouts des constructeurs, ça dépend.

La surcouche c’est une affaire de gouts… mais souvent les gens préfèrent un android sans surcouche, à moins d’y être déjà habitué depuis longtemps de d être réfractaire au changement (mais certaines surcouches ont quand meme leurs adeptes)



Les apps constructeur… y’en a parfois qqunes utiles, mais c’est à 99% des doublons d’autres apps, c’est souvent pas désinstallable, bref c’est souvent une nuisance.

Et à moins que l’app soit aussi publiquement dispo dans le store tu sais que tu perdra son bénéfice si tu change de téléphone et de marque, donc je déconseille de s’y habituer, même si ça semble intéressant sur le coup.


C’est bien pour ça que sa réponse a 2 paragraphes.

Et si les modèles ne sont plus sur le marché du neuf, c’est qu’ils sont sur celui de l’occasion.


Sauf que le support est aussi limité sur les anciens modèles.

Si un entrée de gamme ne sera plus mis à jour après 1 ans, ce sera aussi le cas de haut de gamme après 3-4 ans, donc acheter de haut de gamme d’il y a 2-3 ans ne donnera pas beaucoup plus de durée de vie restante que de prendre un entrée de gamme récent.


Et bien achète d’occasion, tu peux trouver de très bon tel d’occaz/neufs dans la fourchette 150 -300


Je trouve ça chaud moi.

On nous casse les bonbons pour un Windows XP qui est plus supporté au bout de 13 ans, et que nos données seront en danger blablabla, et un téléphone qui stocke des données bien plus importantes, bah le support ne dure que 3 ans max.



Loul. Alors que foutre un patch je suis sûr que ça prend même pas 10min, les amateurs s’en chargent, pourquoi des groupes qui gagnent des dizaines de milliards ne le font pas…bref. 


Ca les portables d’occaz’ jamais, eu trop de mauvaises surprises, et vu ce que Google stocke de perso je préfère pas.


Pas sur CyanogenMod. J’ai toujours un Galaxy S  (le premier) qui est maj avec CyanogenMod.



Alors oui c’est sur, il faut bidouiller un peu pour installer CM. Mais une fois que c’est fait pas de problèmes.


Comment ils te vendraient le nouveau smartphone à 850€ sinon ?&nbsp;<img data-src=" />


je ne comprendrais jamais pourquoi ils maintiennent à jours la Nexus7 2013 mais font impasse sur la Nexus7 2012….


Mais que fait la commission Européenne?….

Que fait la Direction générale de la concurrence, de la consommation et de la répression des fraudes?

Que fait la secrétaire d’État chargée du Commerce, de l’Artisanat, de la Consommation et de l’Économie sociale et solidaire?

Google propose un système bourré de failles de sécurité…. et fait en sorte que, en pratique et concrètement, presque seuls ses propres téléphones (Nexus) puissent être facilement mis à jour … c’est un scandale commercial et technique qui viole les lois de la libre concurrence et des monopoles.

Et pourquoi laisse t-on les marques qui ne peuvent pas (ou ne veulent pas) mettre à jour leur système Android continuer à vendre des téléphones en France et en Europe???




Android : Google bouche encore plus d’une centaine de failles





On bouche un trou, mais on colmate une faille.



<img data-src=" />



Quand Google bouche, le journaliste se trompe. Quand au lecteur: il a rit.


Ben soit tu achètes un tel le prix fort (ou ancienne génération) et il te dure &gt; 3 ans, soit tu t’achète une merde (wiko, noname chinois…)&nbsp; à &lt; 150€ tous les 12 ans. C’est malheureux mais ces téléphones ne sont pas concus pour durer plus longtemps, et ils ne sont pas assez vendu pour être suivi à posteriori par la communauté CyanogenMod.


Dans ce cas, la gamme nexus de google me semble le plus approprié pour avoir les dernières mis à jour.



J’ai personnellement acheté un 5X le mois dernier à 250€ et c’est largement suffisant pour ce que j’en fait. Je trouve le rapport qualité/prix juste parfait ^^


Et hop ça devient la faute de Google <img data-src=" />



On peut dire pareils pour les &nbsp;PC. &nbsp;Hors un PC c’est supporté minimum 10 ans. Du point de vus de l’OS au moins.&nbsp;



C’est dangereux de penser comme ça, quand ils se prendront une grosse fuites de données sur leurs &nbsp;téléphones, ils viendront pas pleurer quand ils se prendront une class action.&nbsp;








127.0.0.1 a écrit :



Quand Google bouche, le journaliste se trompe. Quand Quant au lecteur: il a rit.





<img data-src=" /> <img data-src=" />



Pour une fois le patch du N5 est arrivé hier et celui de N5X aujourd’hui c’est très rare de les avoir le jour même pour moi, mais alors la veille…


Le marronnier du high tech… A quand la liste des constructeurs qui poussent les “patchs sécurité” régulièrement ?


étrange on me propose la mise à jour mais uniquement en wifi jusqu’au 8 aout. hey je suis en 4G ça passe! <img data-src=" /> ce n’est pas 29Mo qui me font peur non mais!








Haken Trigger a écrit :



C’est bien beau que Google mette à jour son OS, mais faudrait que les constructeurs suivent, car la grosse majorité des appareils ne sont pas maintenus par leurs constructeurs… Mes Wiko Cink+ et Lenovo IdeaTab A1000L n’ont jamais eu de mise à jour depuis respectivement Android 4.1 et 4.2 par exemple, et pour trouver un CyanogenMod bonjour.



Je crois même que seul Google fait du suivi à long terme, même Samsung n’en fait pas très longtemps il me semble…







Arrêtez tout de vous plaindre avec vos smartphone a 2 .- c’est normal que le constructeur ne va pas passer son temps a mettre à jour un smartphone bas de gamme…



Achetez de BlackBerry ^^



Xiaomi mi4c + cm13.1 stable.

Toutes les correctifs sont là !








atomusk a écrit :



Et hop ça devient la faute de Google <img data-src=" />





Demande toi à qui profite le crime?



Les BlackBerry android sont déjà patchés; comme d’habitude avant ou en même temps que les derniers Nexus. (la MAJ est dispo chez BlackBerry depuis le 1er août)



Pourtant ici on nous sort mois après mois le même laïus sur ceux qui ne le seront peut-être pas et sur les derniers Nexus qui le seront…


Un jour ils comprendront 😉😁


#leComplot


Si les gens arrêtaient d’acheter de la merde pas mis à jour blindé de bloatwares, peut être que ça arrêtera de se vendre <img data-src=" />


télé prix qui croiyait prendrent. <img data-src=" />


Car les mises à jour ne rapportent pas d’argent et coûtent très cher à gérer.&nbsp;Ce qui pourrait changer cela? que les mises à jour soient payantes ou que Google paie les constructeurs…&nbsp;

Tant que les constructeurs n’auront rien à y gagner, rien ne changera…


Si les gens arrêtaient d’acheter des smartphones bien trop chers blindés de surcouches, peut-être que ça arrêtera de se vendre et que les mises à jour se feront enfin chez tout le monde…



Ca marche dans les deux sens ton raisonnement. Tout le monde n’a pas 250€ minimum à mettre dans un téléphone.


Merci pour vos conseils ! C’est ce qui me semblait, Cyanogen semble faite pour tes gens comme moi.



Mai&nbsp; j’ai un Samsung Galaxy Core Prime, téléphone moyen de gamme. Pas de bol : pas de rom Cyanogenmod disponible sur étagère <img data-src=" />



&nbsp;Va falloir bidouiller un peu alors.


Il est bon de savoir que Google corrige les failles et communique dessus avec les constructeurs. Toutefois, les constructeurs ne suivent pas au niveau des mises-à-jour. Et si le constructeur fournit une nouvelle version, c’est l’opérateur qui la distribue qui bloque.



Il est étonnant que Google n’ait pas trouvé et appliqué une solution globale à ce défaut de maintenance. Apple le gère bien avec iOS. Microsoft aussi. Il est étonnant que les utilisateurs d’Android soient autant dépendants du bon vouloir d’une chaîne d’intermédiaires inutiles.



Une voie que Google aurait pu explorer est d’imposer le suivi des mobiles aux constructeurs. Certes, la licence de la version libre d’Android est permissive. Toutefois, Google Play, ainsi que les autres logiciels et services de Google, sont plus restrictifs, et imposent certaines contraintes contractuelles supplémentaires. Imposer aux constructeurs une maintenance logicielle de leurs appareils, au moins en matière de sécurité, serait le bienvenu.



Ceci dit, il y a peut-être une voie de recours que les consommateurs pourraient exploiter : la garantie pour vice caché, réputée à vie. Qu’est-ce qu’un bug, et à plus forte raison une faille de sécurité, sinon un vice caché ? Un téléphone comportant des failles de sécurité pourrait alors être envoyé en révision ou remboursé. N’est-ce pas ainsi que l’on procède sur les voitures, par exemple ?


Tu peux trouver de très bons tel en dessous de 250€. Après la sécurité et le support a un prix, si tu es pas près à le mettre, ben t’aura ni l’un, ni l’autre.



Ensuite le calcul est vite fait. Racheter tous les ans un wiko &lt; 100€ ou acheter un tel à 250€ qui tiendra au moins 3 ans.



Au final c’est moins cher de bien s’équiper (sauf si on est un manche qui brise son tel tous les matins), surtout si tu considères que le tel est obsolète une fois qu’il n’y a plus de MAJ.



&nbsp;


Je ne sais pas trop si c’est le lieu, mais grace a cette maj ota J’ai découvert flashfire, c’est une appli qui permet de remplacer le recovery twrp, elle permetla mise a jour ota (ou via factory image) sans perte de données et de garder le root. Bref tres pratique ☺️


Fallait faire comme les autres et revendre à moitié prix la 2012 pour acheter la 2013 tellement mieux et meilleur rapport qualité/prix du moment.



Comment se fait-il qu’il y ait autant de failles sur un logiciel Google ? Ca n’existe donc pas un codeur qui code bien sans erreur, même payé 100 000$ l’année ?


D’un point de vue sécurité il vaut mieux les ROM custom car elles sont mis à jour plus souvent. Mais d’un point de vue fonctionnel ça ne vaut jamais les ROM constructeurs, il y a presque toujours des fonctionnalités du téléphone qui ne marchent pas.


Suffit de se renseigner sur le support du tel par CyanogenMod avant de l’acheter. Pour ma part, les tel sont toujours 100% supportés et ont beaucoup plus de fonctionnalités que sur les android constructeurs de base.


Fragmentation quand tu nous tiens… Je pense qu’il faudrait que Google soit encore plus strict dans le déploiement des màj chez les constructeurs, les obliger à déployer les patchs sur tous les modèles prévus dans le cycle des 18 mois…



C’est déjà au programme apparemment et c’est pas plus mal…



<img data-src=" />








adrieng a écrit :



Mai&nbsp; j’ai un Samsung Galaxy Core Prime, téléphone moyen de gamme.&nbsp;





J’aurais pas dû, mais j’ai ri !



si seulement on n’etais pas obliger de passer par cyanogen pour pouvoir en proffiter snif


Si c’est comme d habitude, je devrais recevoir la MAJ OTA à la mi août (j’ai un Nexus 6)


Sinon je nai jamais compris pourquoi aucun constructeur en dehors des Nexus ne propose Android “nu” …

Ça leur coûterait moins cher de ne pas développer de surcouche …



Alors certes chez Samsung et co. on veut garder lacheteur captif de l’écosystème, mais pour des constructeurs plus petits, qu’on ils à gagner de proposer des surcouches?


Au hasard pour se démarquer de la concurrence ? Après tout comment les gens voient la différence si tout le monde a la même interface ?


Parce qu’un OS n’est pas composé que de dix lignes de code ? Parce qu’un “simple” navigateur comme Firefox, pourtant open source et développé par des milliers de gens plus ou moins développeurs, a en soi environ 2.000 failles répertoriées en début d’année ?



Je ne suis pas sûr que la question du nombre de failles soit résolue simplement par l’argent :)


Ou prendre un téléphone avec un Android AOSP comme les one plus.


Comme vous, j’ai été dégoûté &nbsp;apres que samsung ai abandonné les samsung galaxy s4 et tab3 assez rapidement. On peut dire ce qu’on veut d’Apple avec ses iphones, mais le 4s continue de recevoir des mises à jour avev ios 9 (il naura pas droit à ios 10 mais sera quand même maintenue…)



C’est pour ca que je cherche à acheter un téléphone sans surcouche constructeur. J’ai récemment vu la marque Vernee qui me tente bien. J’attend de voir si le passage à Android N se fera rapidement pour cette marque avant de l’acheter.&nbsp;


Car ils adaptent android au smartphone qu’ils ont créé tout simplement?&nbsp;&nbsp;As-tu remarqué la grosse différence de gestion des trois boutons principaux par les constructeurs?&nbsp;



Beaucoup de constructeurs améliorent Android par bien des aspects avec leur surcouche. Personnellement, je déteste la version de base d’android et les nexus… c’est esthétiquement à gerber et je ne comprend pas le manque d’évolution de ce côté.&nbsp;Apple en profite grandement.








sa3d_h a écrit :



Comme vous, j’ai été dégoûté apres que samsung ai abandonné les samsung galaxy s4 et tab3 assez rapidement. On peut dire ce qu’on veut d’Apple avec ses iphones, mais le 4s continue de recevoir des mises à jour avev ios 9 (il naura pas droit à ios 10 mais sera quand même maintenue…)



C’est pour ca que je cherche à acheter un téléphone sans surcouche constructeur. J’ai récemment vu la marque Vernee qui me tente bien. J’attend de voir si le passage à Android N se fera rapidement pour cette marque avant de l’acheter.





J’ai acheté un Samsung Galaxy S4 en mars 2014. J’ai vu passer 2 mises à jour. Deux.



Pareil, une mise à jour android 4.4 et une autre 5.1. Et encore il a fallu attendre SFR qu’ils la déploie…

Pour la galaxy tab 3 je ne me rappelle pas en avoir eu… Je suis coincé avec une 4.4 il me semble.



Le fabriquant/FAI ne devrait pas s’occuper des mises à jour. C’est comme si j’achetais un pc asus à la fnac et que j’attendais la fnac pour recevoir la dernière mise à jour mensuelle de microsoft….


La situation n’évoluera pas puisqu’ils n’ont rien à craindre, si un jour ils y a de gros problèmes, les utilisateurs essuierons les dégâts et ça repartira comme tel.



Ils n’ont de toutes façon pas d’alternatives, les iPhones c’est trop cher pour beaucoup, et les autres systèmes sont à l’abandon, ils ne pourront pas aller voir ailleurs.


Moi je ne comprends toujours pas pourquoi c’est autant la merde entre les mises à jour poussées par Google et les intermédiaires qui t’empêchent de la recevoir qur ton terminal. Pourquoi ne pas iclure de base les processus et librairies de M@J directement dans Android? Pourquoi ne pas reprendre le procédé utilisé sur PC? Je veux dire, avec Windows n’importe qui peut mettre à jour son PC sans avoir à attendre un quelconque développement ou déploiement de la part de intel, msi, gigabyte, Samsung, etc. qui sont les fabricants des composants hardware. Donc pourquoi Google ne fait pas pareil ?










sa3d_h a écrit :



Pareil, une mise à jour android 4.4 et une autre 5.1. Et encore il a fallu attendre SFR qu’ils la déploie…

Pour la galaxy tab 3 je ne me rappelle pas en avoir eu… Je suis coincé avec une 4.4 il me semble.



Le fabriquant/FAI ne devrait pas s’occuper des mises à jour. C’est comme si j’achetais un pc asus à la fnac et que j’attendais la fnac pour recevoir la dernière mise à jour mensuelle de microsoft….









psn00ps a écrit :



J’ai acheté un Samsung Galaxy S4 en mars 2014. J’ai vu passer 2 mises à jour. Deux.







Android 6 pour Galaxy S4



Très cher à gérer ? Euh non.&nbsp;


C’est relatif mais ce sont des millions d’euros par an, c’est générer de possibles bugs de masse, et ça rapporterai quoi? que dalle… si ce n’est satisfaire Google.


Une bonne image de marque, donc de meilleures ventes, &nbsp;ça rapporte pas de class action aussi, si le produit est hacké et que des données importantes sont volées par exemple. :)&nbsp;


Je ne comprends pas un truc avec Linux (donc Android).



Peut-être quelqu’un pourra-t-il m’aider.



Dans la mesure où Linux est un assemblage de légos composé d’un noyau puis de plusieurs logiciels (x11, etc.) ajoutés en packages, que veut dire “corriger des failles” sous Linux ?



Ca ne veut pas dire modifier des failles du code du noyau.

Alors ça veut dire corriger les fichiers de certains pilotes ?

Modifier certains packages ?



Dans ma conception, Debian, Android ou Ubuntu sont pareilles, ils ont le même noyau mais des briques différentes.



Y a-t-il une couche programmée par le constructeur en plus, et c’est elle qui contiendrait des failles ?



Bref, je ne comprends pas à quoi on doit toucher sous Linux pour corriger des failles.


Depuis le lancement de la vallée nexus, j’ai toujours acheté des smartphones qui avaient un suivi au niveau de l’os. Autant dire que ce n’était pas des Samsung.


Android n’est pas Linux justement. (pas au sens où tu l’entends, à savoir GNU/Linux)



Les distributions Linux que tu cites sont un noyau (Linux), une couche applicative de base (les outils GNU), et un écosystème applicatif (window manager, logiciels…).

A l’inverse, Android est un dérivé de Linux (il est basé sur une version LTS du noyau) qui embarque tout un tas de drivers propriétaires et qui dispose d’une surcouche et d’API qui lui sont propres. A l’inverse par exemple d’Ubuntu Touch qui exploite le Kernel Android (pour la compatibilité hardware) mais a comme surcouche la GNU classique des distribs Linux. (mais reste tout aussi peu malléable qu’Android)



Après, le système de base (AOSP) est maintenu par Google, mais les fabricants intègrent des trucs et des machins proprio qui font que chaque ROM est spécifique à un modèle. Problème accentué par le fait que le hardware est verrouillé.



Bref, les OS de smartphones sont une catastrophe du point de vue sécu car jamais un fabricant n’aura envie de maintenir un OS… Il préfère vendre des patchs hardware que des patchs softwares gratuits.



Et je rejoins un précédent commentaire là dessus : tout le monde a chié une pendule pour la mort d’XP après plus de 10 ans de support, mais savoir qu’un smartphone (qui contient toute votre vie) est une passoire qui sera peut-être colmatée un jour ne dérange personne…. Schizophrénie power.


D’un autre côté, en quoi consiste ces “failles” exactement ? A en croire le papier de Google, c’est quand même très souvent “local malicious application”… du coup je me demande si ce n’est pas la raison du manque de suivi constructeur.



Car y-a-t-il un grand risque dans le cadre d’une utilisation très basique (téléphone + un ou deux sites + peut-être une pauvre application une fois la semaine) et en choisissant bien ses applications ?


Une meilleure image, de meilleures ventes? auprès de qui ? de quelques dizaines de milliers d’utilisateurs connaisseurs? La très grande majorité des utilisateurs n’achètent pas un smartphone pour le système qui est dedans, ni pour la sécurité, mais pour ses fonctionnalités et son look, point.&nbsp;

Et niveau fonctionnalités, android n’a guère besoin des dernières mises à jour, elles n’apportent souvent rien du tout aux besoins quotidiens. D’ailleurs très peu d’utilisateurs les connaissent, ce dont on parle le plus, c’est le nom à la con attribué au nouveau système, pas ce qu’il apporte.&nbsp;

Mais c’est également valable pour les Apple users, ils ont les mises à jour, mais ne savent pas ce qu’elles apportent réellement, tant que les fonctionnalités qu’ils connaissent sont là, tout va bien.

La version du système n’est clairement pas un point attrayant pour la majorité des utilisateurs, les constructeurs ont très peu d’intérêt à communiquer dessus, surtout que c’est faire de la pub à Google avant tout…


Va dire ça aux entreprises. :)&nbsp;



Avoir des &nbsp;téléphones remplis de failles c’est pas le top.


Les entreprises qui ont besoin d’un smartphone sécurisé, c’est assez rare… la majorité ne l’utilise que pour téléphoner… incroyable!&nbsp;<img data-src=" />



Edit : moi aussi j’aimerai un smartphone avec un OS à jour, mais je comprends pourquoi les constructeurs ne le font pas et n’y ont que très très peu d’intérêts.


OnePlus X + CM 13 Nighlty up to date, patch de sécurité du 5 août. Pour moi Android stock c’est adieu. Je resterai sous CyanogenMod. En plus OnePlus met 15 ans à déployer Android 6.0 sur le OPX mais bon ça c’est un autre problème. Si on veut un OS à jour il faut soit prendre les smartphones gérés par Google (Moto, Nexus…) ou alors passer à CyanogenMod (c’est pas si compliquer que ça de mettre une custom ROM) - mais il faut avoir un smartphone qui s’y prête. Et donc un smartphone ça se choisi et ça se compare avant l’achat. Soit on choisi au mieux, soit on accepte d’avoir une passoire. M’enfin au moins on peut égoutter les spaghettis après …


C’est pour ces raisons que c’est de la folie d’investir autant de fric dans un mobile. Cela sert à téléphoner et accessoirement à surfer sur Internet. Pour les choses sérieuses (archiver ses photos, gérer son courrier, développer etc) rien ne remplacera un bon PC fixe ou portable.

Donc foutre plus de 200 euros dans un bidule qui peut tomber, se caser, être perdu ou volé à tout moment, c’est vraiment incompréhensible (je pense à tous les possesseurs d’iPhone ou de haut de gamme Android)

Mais il est vrai que les possesseurs d’un téléphone hors de prix le porte en bandoulière où à la main comme un trophée ou un bijou !!!








manu0086 a écrit :



Les entreprises qui ont besoin d’un smartphone sécurisé, c’est assez rare… la majorité ne l’utilise que pour téléphoner… incroyable! <img data-src=" />



Edit : moi aussi j’aimerai un smartphone avec un OS à jour, mais je comprends pourquoi les constructeurs ne le font pas et n’y ont que très très peu d’intérêts.







Pas vraiment, ceux qui utilisent vraiment leurs smartphones professionnels ont à minima la messagerie (par extension les contacts) et l’agenda de synchro dessus. Donc des données sensibles.



Tu y vois le fait qu’ils n’ont aucun intérêt à maintenir l’OS, moi j’y vois une responsabilité.

Partagée avec l’éditeur qui permet ce comportement stupide.



Non ils n’ont aucune responsabilité… ils t’ont vendu ton smartphone en ventant sa sécurité?&nbsp;ils t’ont vendu une assurance contre le piratage?&nbsp;

C’est comme se plaindre d’acheter une maison, une voiture et dire qu’il y a des failles de sécurité car les vitres sont cassables… donc c’est la faute du constructeur ^^

Même Apple ne te vend pas un appareil sécurisé et n’a pas sa responsabilité engagée s’il est piraté.








alain_du_lac a écrit :



C’est pour ces raisons que c’est de la folie d’investir autant de fric dans un mobile. Cela sert à téléphoner et accessoirement à surfer sur Internet. Pour les choses sérieuses (archiver ses photos, gérer son courrier, développer etc) rien ne remplacera un bon PC fixe ou portable.



 Donc foutre plus de 200 euros dans un bidule qui peut tomber, se caser, être perdu ou volé à tout moment, c'est vraiment incompréhensible (je pense à tous les possesseurs d'iPhone ou de haut de gamme Android)       

Mais il est vrai que les possesseurs d'un téléphone hors de prix le porte en bandoulière où à la main comme un trophée ou un bijou !!!








C'est pour ça que maintenant, les PC avec windows 10 sont des téléphones&nbsp;:eeek2::ouioui::mdr2: ("votre téléphone est mis à jour"):mdr:


La responsabilité n’est pas sur la sécurité mais sur le suivi du système, qui inclus évidemment les mises à jour de sécu.



Tu estimes donc que le fabricant n’a aucune responsabilité si toute ta vie se retrouve dans la nature parce qu’il n’a pas diffusé une mise à jour corrigeant la faille exploitée ?

Vraiment ?



Très mauvais exemple sur les maisons et voitures, on parle d’un problème lié à quelque chose de monstrueusement plus complexe.

Quoique pour les bagnoles, je suppose que tu n’y vois aucun inconvénient si FCA n’avait pas corrigé la faille de sécurité du Uconnect qui permettait de prendre le contrôle à distance des véhicules concernés. Après tout, il vendent des bagnoles, pas de la sécurité.



Tout comme les fabricants ne font jamais ô grand jamais de rappels parce qu’un modèle de leur produit peut exploser à la gueule du client, après tout c’est une cafetière qu’ils ont vendu, pas la sécurité de l’utilisateur.



A penser comme ça, ne t’étonne pas si un jour ça se retourne contre toi.



Sérieusement, vous trouveriez normal que Dell/HP/Lenovo/Whatever bloque les mises à jour de Windows parce qu’il doivent faire un update sur le wallpaper fourni en OEM ?


Euh niveau mauvaise foi, tu peux arrêter stp?&nbsp;

Tu mélanges volontairement sécurité physique découlant de la fabrication du produit lui-même et sécurité des données de l’utilisateur.

Et niveau suivi du système (indépendant de l’appareil, tu peux virer android, l’appareil est toujours garanti), y’a une clause quelque part qui stipule que le constructeur en est responsable pour X années?



Et tu compares l’incomparable, windows et android… &nbsp;

Mais bon si tu penses réellement qu’ils ont une responsabilité contractuelle, bah vas-y porte plainte, fait une class action… quoi y’en a pas une seule qui ai abouti (ou qui n’ai démarré) ? mince, les utilisateurs seraient dans leur bon droit pourtant…&nbsp;


J’en vois dans les commentaires qui disent qu’il faut débourser un salaire pour pouvoir avoir un portable à jour. C’est faux. Il y a des constructeurs autres que samsung, wiko et les autres merdes qu’on vous met dans les pubs. Par exemple il y a les smartphones Wileyfox qui sont sous CM de base pour un prix très abordable comme le Swift (150€) ou le Storm plus haut de gamme (~280€). Faut se renseigner les cocos !


Microsoft aussi en te vend pas de la sécurité hein.&nbsp;



Et pourtant…


Sur le OnePlus 3, les maj de sécurité ont été déployé assez rapidement jusqu’ici <img data-src=" />


Il ne vend pas de la sécurité mais il te vend un support et un suivi… contrairement aux constructeurs de smartphones android.


Au delà de la responsabilité légale, c’est avant tout une responsabilité morale. Les données de l’utilisateur, c’est tout aussi important que sa vie… Surtout vu comment les smartphones et autres “objets connectés” sont intrusifs. Vie quotidienne, habitudes, santé, relations, ces engins sont bardés d’infos qui peuvent intéresser le premier tordu venu.

Accessoirement, au cas où tu ne l’aurais pas remarqué, il ne se passe pas une journée sans qu’on voit passer une news sur des vols de données, du piratage, de l’exploitation de vulnérabilité, etc. Est-ce là un comportement responsable que de laisser des passoires se balader dans un contexte pareil ?

Ce n’est pas parce que personne vend de la sécu ou une obligation de mise à jour ou que sais-je qu’il faut volontairement le négliger. C’est comme à chaque fois : on ne fait rien, on ferme les yeux, et le jour où il y a un problème, c’est la catastrophe.



Le fonctionnement des smartphones est complètement mal branlé dès le départ en voulant imiter ce qu’Apple a fait avec ses iPhones… Sauf que dans le cas où le constructeur est aussi l’éditeur de la solution, le suivi est légèrement mieux (moins catastrophique on dira).

Résultat ça justifie le non suivi en disant “ouais mais c’est de l’embarqué tu comprends gnagnagna”.



Personnellement je n’espère qu’une seul chose : que ça pète. Et ça arrivera tôt ou tard, et c’est malheureusement le seul moyen pour que les choses bougent.

Le concept du smartphone est excellent et apporte beaucoup, mais l’implémentation est juste une merde sans nom… Les seuls gagnants étant les vendeurs de patchs hardware.


Suivi des MAJ au niveau de la sécurité. :)&nbsp;



Je n’ai jamais vu de &nbsp;personne acheter &nbsp;un PC sous Windows pour la sécurité, pourtant &nbsp;M$ le fait quand même. :)&nbsp;








SebGF a écrit :



Au delà de la responsabilité légale, c’est avant tout une responsabilité morale. Les données de l’utilisateur, c’est tout aussi important que sa vie…&nbsp;





Bon excuse moi mais je n’ai même pas pris la peine de lire la suite, y’a une limite à la connerie tu l’a franchie allègrement.









manu0086 a écrit :



Bon excuse moi mais je n’ai même pas pris la peine de lire la suite, y’a une limite à la connerie tu l’a franchie allègrement.





Il n’a pourtant pas tort sur pas mal de points.&nbsp;Certaines données de l’utilisateurs sont très importantes. Il suffit qu’une personne récupère un accès à notre messagerie pour faire de gros dégâts dans notre vie.



Par contre concernant “la responsabilité morale”, les constructeurs de smartphone et/ou de OS s’en fichent. Le nombre de problèmes sera toujours très faible par rapport à leurs ventes. Ce ne sera pas assez rentable de s’occuper de la sécurité à fond.



Perso, je suis chez Android avec un Nexus. Par contre 32Go de mémoire était trop faible et j’en avait donc pris un avec 64Go car il n’y a pas de carte SD sur les Nexus :‘(

Seul inconvénient, obligé de prendre le modèle avec le grand écran et je le regrette un peu (je n’en ai plus trop d’utilité).

Ca fait quasi 2 ans que je l’ai et je compte bien en changer cette année pour avoir un plus petit écran. Seul inconvénient, quel modèle choisir pour avoir des mises à jours qui suivent ?

Si je reste chez Android, ce sera à nouveau un Nexus (reste à voir ce qui sera proposé).

Chez les Windows Phone : trop peu d’applications …

Chez Apple : leur système me plait bien du côté des mises à jour, mais le prix est un peu élevé …



ps: j’ai reçu la mise à jour d’android pour mon Nexus hier. Alors que normalement c’est plutôt en milieu de mois.



Bon ben comme d’habitude, si vous avez un tel qui n’est pas mis à jour comme les samsung et que vous avez pu bidouiller votre tel pour y mettre un aosp…cool

Sinon, j’ai rien contre Android, j’ai un samsung s3 4g… sur marshmallow avec l’excellente rom ressurection remix.

Mais on va pas tarder à avoir le parc le plus vaste de zombis sur téléphone et ce sera grâce à Google!

Rien que pour cela je sanctionnerai Goolgle en achetant un windows Phone.

Il est temps que Google trouve une solution ou impose au moins deux ans de mises à jour régulières pour chaque modèle.


Donc tu sanctionnes google en te sanctionnant toi même ? <img data-src=" />












marba a écrit :



Android 6 pour Galaxy S4





Quand on achète un téléphone 600€ on s’attend à un minimum de service après vente pour ne pas à s’occuper de mettre à jour ses appareils avec des méthodes qui ressembles plus à de la sorcellerie que de la mise à jour.

A la base Android c’est le système open source, dont tout le monde peut consulter le code source pour corriger des failles et proposer rapidement des correctifs pour l’ensemble. Là le modèle coince du fait du verrouillage du constructeur, et de l’opérateur.

Pour reprendre l’exemple d’Apple, l’iphone 4s qui était à l’époque du galaxy S4, et au même prix, continue de recevoir des mises à jours jusqu’à maintenant. La dernière en date :&nbsphttp://www.nextinpact.com/news/100891-apple-ios-9-3-4-corrige-faille-importante-…

Et je vous rejoins pour dire que la plupart des utilisateurs, dont moi, ne soucient guère du contenu des mises à jours. Mais justement je ne veux pas m’en soucier. L’appareil est configuré pour se mettre à jour automatiquement, dès qu’une faille se déclare je peux espérer en recevoir la maj.

Je n’ai pas envie de Cyanogenmod et autre bidouille où le flash déconne, les mms arrivent une fois sur deux, et je ne sais quoi d’autre. Et surtout je n’ai pas envie de m’en soucier, c’est un service que j’achète avec mon téléphone.



100% d’accord avec ton commentaire.









sa3d_h a écrit :



Je n’ai pas envie de Cyanogenmod et autre bidouille où le flash déconne, les mms arrivent une fois sur deux, et je ne sais quoi d’autre. Et surtout je n’ai pas envie de m’en soucier, c’est un service que j’achète avec mon téléphone.







Merci pour l’info, je vais faire l’impasse. Je n’ai pas envie de perdre des fonctionnalités.









psn00ps a écrit :



100% d’accord avec ton commentaire.







Merci pour l’info, je vais faire l’impasse. Je n’ai pas envie de perdre des fonctionnalités.





CyanogenMod fonctionne mieux que les ROM des constructeurs… Se renseigner avant de dire n’importe quoi.

C’est dans le cas où le tel est pas très connu avec des composants cheap que CM est moins supporté (tel entrée et milieu game). Mais tout est marqué sur la fiche dédié à votre tel/tablette sur le site de CyanogenMod (les drivers mal supportés, les fonctionnalités en moins).

Mais en général sur un tel haut de gamme, c’est que du +.



&nbsp;





sa3d_h a écrit :



Quand on achète un téléphone 600€ on s’attend à un minimum de service après vente pour ne pas à s’occuper de mettre à jour ses appareils avec des méthodes qui ressembles plus à de la sorcellerie que de la mise à jour.

A la base Android c’est le système open source, dont tout le monde peut consulter le code source pour corriger des failles et proposer rapidement des correctifs pour l’ensemble. Là le modèle coince du fait du verrouillage du constructeur, et de l’opérateur.

Pour reprendre l’exemple d’Apple, l’iphone 4s qui était à l’époque du galaxy S4, et au même prix, continue de recevoir des mises à jours jusqu’à maintenant. La dernière en date :&nbsp;http://www.nextinpact.com/news/100891-apple-ios-9-3-4-corrige-faille-importante-…

Et je vous rejoins pour dire que la plupart des utilisateurs, dont moi, ne soucient guère du contenu des mises à jours. Mais justement je ne veux pas m’en soucier. L’appareil est configuré pour se mettre à jour automatiquement, dès qu’une faille se déclare je peux espérer en recevoir la maj.

Je n’ai pas envie de Cyanogenmod et autre bidouille où le flash déconne, les mms arrivent une fois sur deux, et je ne sais quoi d’autre. Et surtout je n’ai pas envie de m’en soucier, c’est un service que j’achète avec mon téléphone.





Ton téléphone a été MAJ pendant ~ 2 ans comme tous les tel haut de gamme android (hors nexus). C’est le mieux à quoi tu pouvais t’attendre, et si tu veux te plaindre contacte samsung directement ce sera plus productif.



Sinon tu prend 1h, tu installe une ROM CM, et après tu es tranquille .



D’accord, mais même problème avec Ubuntu ou Debian :

quand je lis qu’Ubuntu ou Debian corrige des failles, ça veut dire quoi ?



A quels fichiers ils touchent ?

Aux packages ? Au noyau Linux ? A des fichiers propres à eux ?



Ou alors ils bidouillent les réglages d’installation des packages pour colmater le plus de brèches ?

Ils modifient directement les packages ?


Je pense que ça dépend surtout de ce qui est corrigé.

Si c’est leurs propres devs, forcément c’est eux qui corrigent. Si c’est quelque chose d’externe qu’ils intègrent, ils diffusent simplement les patchs (ceux de Linux, etc).



Une distrib Linux, c’est avant tout un agrégat de plusieurs logiciels, les distributeurs étant avant tout des intégrateurs.


Merci de la précision.



Chez Windows, quand il y a une faille, tu sais que Microsoft crée lui-même les fichiers.

Donc tu sais qu’ils peuvent corriger la faille.



Mais chez Linux, en effet, les distributeurs sont des intégrateurs, ils ne créent rien.

Donc tu te demandes ce qu’ils peuvent corriger.



Donc en effet, c’est plausible : soit ils diffusent les patchs des packages, soit ils ont programmé une couche eux-même, soit ce sont des modifs de la configuration de certains packages pour reboucher des failles de sécurité j’imagine.


Le 07/08/2016 à 09h29