Le bulletin de sécurité d'Android du mois de juillet est bien garni, avec plus d'une centaine de failles. Certaines concernent directement Android, alors que d'autres sont liées à des composants précis et ne touchent pas tous les terminaux.
Depuis maintenant presque un an, Google publie des mises à jour mensuelles pour Android afin de corriger des failles de sécurité sur une base prévisible. La fournée de juillet est très conséquente puisqu'il est question de 107 failles, excusez du peu. Autant dire qu'il est recommandé de se mettre à jour rapidement... du moins pour ceux qui le peuvent.
Une centaine de failles, réparties en deux groupes
Google explique qu'il a divisé son bulletin en deux parties, identifiées de la manière suivante : 2016-07-01 et 2016-07-05. La première comprend des correctifs qui concernent Android au sens large et touchent potentiellement tous les terminaux, tandis que la seconde se concentre sur des brèches liées à des composants particuliers provenant de chez Qualcomm, NVIDIA, MediaTek, etc.
Le lot estampillé 2016-07-01 comble plus d'une trentaine de failles, dont 8 sont considérées comme critiques puisqu'elles permettent d'exécuter du code à distance via Mediaserver, OpenSSL ou BoringSSL suivant les cas. Le second lot est plus conséquent avec pas moins de 75 failles, dont 12 critiques.
Qualcomm occupe une bonne place avec, pêle-mêle, des élévations de privilèges via une vulnérabilité au niveau du GPU ou le « performance component ». Pour rappel, le fabricant de SoC était récemment sur la sellette pour un problème lié au chiffrement intégral d'Android. De leur côté, les pilotes vidéo de NVIDIA et Wi-Fi de MediaTek contiennent également des brèches pouvant mener conduire aux mêmes conséquences. Tous les détails se trouvent par ici.
Mise à jour d'usine disponible pour certains Nexus, pour les autres...
Comme toujours, les images d'usine sont disponibles sur cette page pour les terminaux Nexus encore mis à jour par Google. Pour AOSP (Android Open Source Project), le code source sera disponible d'ici 48 heures précise le géant du Net. Ce dernier ajoute enfin que ses partenaires ont été notifiés de l'ensemble de ces bulletins de sécurité le 6 juin au plus tard.
Mais le problème avec les mises à jour de sécurité de Google est toujours le même : seules les dernières moutures du système d'exploitation bénéficient des correctifs et il faut ensuite que les fabricants de smartphones et de tablettes les proposent à leur client... ce qui peut prendre du temps, voire ne jamais arriver suivant les cas.
Commentaires (54)
J’ai une question bête, est-ce que les Nightly de Cyanogenmod embarquent la correction de ces failles?
Mouais sauf qu’aucun appareil n’est concerné par ces plus de 100 failles, une bonne partie proviennent des pilotes, pilotes qui sont loin d’être commun à tous puisque liés au hardware. Ça se voit rapidement sur la page du bulletin de sécu.
" />
D’ailleurs ce n’est pas aux constructeurs (Qualcom, Nvidia, Mediatek & Co) de faire les drivers et donc de combler ces failles ? Pourquoi on dit toujours “Google corrige Android” ?
En tout cas c’est cool, Nexus 5 de 3 ans toujours à jour
Tout comme ça se voit dès la deuxième phrase de l’article?
Oui, prises en compte très rapidement
Merci :)
à l’envi ?
Bonjour,
Ce que je trouve vraiment déplorable avec les téléphones de nos jours, c’est qu’on se retrouve à devoir jeter le téléphone juste par manque de mise à jour de sécurité…
Qu’on n’ait plus le droit au majs de nouveautés ok, mais le constructeur + l’entreprise en charge de l’os se devrait de fournir des majs de secu durant 5 ans. C’est clairement un minimum…
En gros il faudrait des versions LTS, et que chaque appareil soit vendu en garantissant le support d’une LTS (ou plus selon l’envie du constructeur). Mais au moins on n’aurait pas à jeter son téléphone “juste” parce qu’il n’existe plus de correctif redescendu sur sa branche d’os pour corriger les failles.
C’est vraiment aberrant cette obsolescence programmée…
Question (naïve) : avec l’image dusine, on perd ses réglages et données ?
Ok. Ouais donc je ne trouve pas. Il ne corrige pas les failles des pilotes hardwares, il ne fait que les distribuer comme MS le fait avec les MàJ des drivers dans les Windows Updates quoi.
Pas forcément, si tu suis la manip de cette page oui, mais tu n’es pas obligé de faire toutes ces étapes.
J’espère que CyanogenMod va nous sortir une version corrective.
J’ai une question : est-ce que le monde à deux vitesses d’Android (pardon, à 100 vitesses) ne pose pas lui-même un problème de sécurité ? Parce que quand Google sort un correctif, ceux qui sont susceptibles d’utiliser les failles qui sont bouchées ont alors connaissance de failles exploitables sur les millions de devices qui n’ont pas accès à la mise à jour, am I right ?
Si si ça je ne dis pas le contraire.
C’est ce que fait Google tous les mois avec ces mises à jour mensuelles.
Je te charriais sur la diférence entre correction et distribution.
Le client se fout, à tort, de savoir où est précisément le problème.
“Mon tél Android c’est une passoire”
Ah oui bah si on parle client là on peut carrément enlever ta dernière phrase parce qu’il n’en sait rien et s’en fout royalement
" />
De là à le jeter… J’ai un vieux PC sous Vista, je ne vais pas le jeter même s’il n’y a plus de support sécurité venant de Microsoft.
" />
Depuis le 5 juillet sur les BlackBerry Priv.
Les anciens téléphones avaient des failles aussi : tous les dispositifs en ont, mais celles-ci n’étaient pas corrigées.
Sauf que la majorité des gens n’en ont rien à faire des mises à jour de sécurité.
Sauf sur les snapshot vu que le dernier snapshot date d’avril…
Donc il faut se farcir les nightly avec les bugs potentiels…
c’est quand meme incroyable ce lot de failles chaques mois
est ce qu’il s’agit de regression principalement ? de faille induites par de nouvelles fonctionnalités ?
ca semble sans fin, pourtant on imagine la creme de la creme des dev deriere ces systemes
pour le coup je suis etonné qu’il n y pas de scandale grand public quand ont sais que certaines peuvent etre exploité via un simple envois de SMS, en theorie on aurait du voir des millions d’infos fuiter dans la nature ( historique web/ sms / noms utilisateurs et j’en passe )
j’ai pas été voir metesploit recemment mais a l’epoque il y a avait tres peu d’exploit android, ca n’a peut etre pas beaucoup changé
J’ai l’impression que le principale problème d’Android, c’est le fait que l’OS est assez monolithique, et que les mise à jours doivent faire l’intégralité de la chaînes, de l’origine de la correction (fabricant de matos pour les driver, Google pour le coeur, le constructeur pour les surcouches) jusqu’à constructeur voir opérateur téléphonique pour être diffuser.
Pour les iPhones, la question ne se pose pas car Apple est sur l’ensemble des échelon, tout en entièrement sous son contrôle, ils font la pluie et le beau temps.
Mais qu’en est-il des Windows Phone ? est ce que c’est toujours le constructeur qui diffuse toutes les maj, ou MS s’occupe lui même des maj de l’OS un peu de la même manière que son OS de bureau ?
Ce n’est clairement pas incroyable, les smartphones sont au final des mini pcs.
Combien de correctifs reçoit tu pour windows/osx/linux chaque mois?
Ben c’est pareil. L’erreur est humaine, donc il y a forcément des failles pb.
Si on rajoute à ça la course vers la sortie rapide, qui est très à la mode, les développeurs n’ont pas le temps de faire quelque chose de correcte éprouvé et validé.
Rien n’est surprenant. Le problème aussi c’est que contrairement à windows/linux and co, les pilotes sont inclues dans la rom, et là ou sous windows tu mettrais juste à jour ton driver pour résoudre le problème, si ton constructeur/google ne redescend pas un correctif, tu ne peux pas l’installer sans téléphone rooté… Bref on est sur un pc totalement verrouillé..
Ce qui est surtout irresponsable, c’est justement de se retrouver coincé à jeter son matériel puisque non mi à jour, et sans solution de replis, là ou sur un pc dans 90% des cas tu peux te replier sur autre chose qui lui va continuer à être mis à jour en gardant l’utilité principal ou quitte à faire des compromis.
Le problème d’Android c’est surtout la diversité des smartphones, puis la personnalisation constructeur.
De plus on est trop proche d’une philosophie “de l’embarquée” (donc personnalisé par le constructeur) que du “pc” (donc plus grandes séparations des composants via un système de drivers dynamique). Il serait temps de se rapprocher de la philosophie PC : ca pouvait se comprendre avec la “faible” puissance des smartphones, mais maintenant on a de la puissance pour pas cher…
Je crois qu’il y a peu de téléphones constructeurs autre que ceux de microsoft…
Donc pour la majorité c’est microsoft qui déploie.
Pour les autres si ça existe toujours, déjà on n’a pas le problème de surcouche etc. Donc je crois que c’est quand même poussé par microsoft comme pour windows.
Je pense que le problème ne se pose donc pas.
Fairphone fait ça, en s’engageant à mettre à jour niveau sécurité le plus longtemps possible.
Le FP1 va encore recevoir des mise à jour d’Android 4.4.4.
Donc, un bon vieux SG3 LTE, Androïd 4.4.4 n’a plus le droit à rien du tout ?
On a potentiellement plein de failles, mais comme le tel à 4 ans, c’est plus à la mode, donc on doit changer ?
==> Belle mentalité
Sur SaM Mobile le dernier firmware constructeur version 5.1.1 a les versions de sécurité de mai 2016, depuis plus rien.
On va peut être enfin pouvoir se connecter à un vpn ipsec avec android 6 -_-’
A Madagascar par exemple, il y en a bien plus que 2000.
Ils arrivent à porter sur android 4.4 les correctifs qui ne sont portés que sur android 6.X????
Idem, je ne vois pas comment isl pourraient régler les problèmes du constructeur de cpu qui ne fourni pas de correctif ou tout du moins pas pour android 4.X et livre un blob?
Après en dehors de ça la gamme de prix ne correspond pas à ce que je cherche.
Je veux bien mettre le prix, mais alors je un truc très compact genre Z5C (voir plus petit :o) et pas un bordel à 5” ou plus)
Encore faut-il que ça soit possible.
Parfois ça ne l’est pas ou il faut voir le résultat, si c’est pour avoir le wifi/GSM qui coupe tout le temps parce que le blob n’est pas mis à jour et non compatible, ce n’est pas ce que j’appelle “supporté”. :/
Je n’ai pas de Note1, mais c’est d’expérience que je dis ça.
J’ai eu le cas avec:
Le geeksphone one
Le motorola defy
Le razr i
Et on peut en citer plein comme ça, assez vite, les blobs vont te bloquer niveau mise à jour, tu ne pourras pas compiler un kernel qui va bien sans les pilotes manquants et ça va capoter.
Le lien c’est pour ton “bon vieux SG3 LTE” comme tu le cite en exemple.
Alors qu’il suffirait peut-être simplement de fragmenter pour avoir Android stock + une surcouche logicielle indépendante… mais non, les constructeurs et les opérateurs s’obstinent à vouloir compiler pour nous imposer leurs launcher et leurs pourriciels.
Oui pour tous ce qui touche au code open source d’android (AOSP)
Pour ce qui relève des drivers, c’est moins sûr. Sur le Nexus 5x, les drivers sont sur une partition séparée par exemple et cette partition n’est pas modifiée quand on met à jour Cyanogen.
Donc pour la procédure d’update de sécurité complète sur Nexus, je te conseille mon tuto :https://tuxicoman.jesuislibre.net/2016/04/installer-cyanogenmod-sur-un-nexus-5x….
“The Android security team currently
" />
" />
provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1
(Lollipop MR1), and 6.0 (Marshmallow).”
https://source.android.com/security/overview/updates-resources.html
Google fournit toujours les mises à jours de sécurité pour Android Kitkat. Et je ne pense pas que beaucoup de constructeurs les utilise/distribue! Fairphone le fait.
Après que je comprends totalement que le FP2 (qui lui tourne avec 5.1.1 update) ne puisse ne pas être pour toi.
Hum, ok, mais si on prend l’exemple du nexus 4, à ma connaissance google ne déploie même plus de rom incluant les correctifs:
https://developers.google.com/android/nexus/images (dernière build octobre 2015)
Alors que sa dernière version OFF est en 5.1 et que le portage officiel de la 6.X était presque fini avant annulation…
Donc je ne m’attendais pas à ce que ces branches soient toujours patchées si même google n’est pas un bon élève…
C’est bon à savoir qu’en fait si il reste toujours un suivi mais qu’il faut repartir de 0 et se démerder soit même.
En tous cas ça montre bien que même google se fou complètement de ses clients.
Pour le fairphone, il aurait pu me convenir s’il était plus petit.
Mais quand je vois l’abscence total de rom custom ça l’exclu totalement. :/
Néanmoins effectivement d’après ce que tu me dis ça a l’air d’être effectivement un excellent constructeur s’il continue de porter les majs de sécu.
On peut quand même regréter leur choix de “1 version de téléphone = un os”, je n’ai pas l’impression qu’ils mettent à jour les branches, ils compilent juste les correctifs et basta.
Après il restera toujours le problème des drivers constructeurs (qualcomm and co) qui eux ne seront pas forcément corrigés, donc une faille potentiellement béante qu’il n’est pas possible de corriger à l’échelle de l’os.
Détrompe toi, en octobre 2015, le SIII était encore le terminal le plus utilisé.
Cf. le graphique annuel de OpenSignal.
Je serais bien intéressé concernant la ROM utilisée pour le Note 1. 
" />
Mon ancien Note 1 “dort” tranquillement “pour test” et doit encore être en ROM constructeur 4.1.2 rootée (modèle international GT-N7000).
Je mettrais bien à jour mon Note 3, mais entre la perte du “tout noir” en 5.x (merci l’AMOLED), le peu d’apport fonctionnel réel, le fait que j’utilise beaucoup certains outils requérant TouchWizz et le fait que je ne souhaite rien perdre sur mon “smartphone de prod” rooté en 4.4.2.
J’avais toutefois vu sur XDA les ROM Phronesis et AlexNDR basées sur le le portage des ROMs officielles du Note 5 (donc basées sur TouchWizz) qui paraissaient intéressantes.
Je reçoit toutefois certaines mise à jour de sécurité de Samsung et de Google sur mon Note 3… mais quand à savoir ce qui se trouve dedans ?!?
[ROM][CM13][Marshmallow][Android 6.0.1] Pour GT-N7000, très bonne ROM. Pense a mettre a jour ton MODEM aussi avant de flasher, et aussi WIP bien toute les partitions pour pas avoir de soucis.
Merci beaucoup, je testerai ça ! 
" />
Je vois que cette ROM est basée sur CM13. Et du coup, côté stylet, quelle solution ?
J’ai vu qu’il y avait quelques appli sur le PlayStore et sur XDA à ce sujet mais je n’avais pas plus cherché à l’époque.