Google vient de publier dans l'urgence un correctif de sécurité pour une faille critique. Comme toujours en pareille situation, tout le monde ne pourra pas profiter de la mise à jour, dont la distribution dépend du bon vouloir des fabricants.
Depuis l'été dernier, Google publie à chaque début de mois une série de correctifs pour boucher des failles de sécurité qui sont détectées. Une routine mensuelle qui n'est malheureusement accessible qu'à la petite proportion de terminaux fonctionnant sous Android 5.1 ou 6.0 (21,5 % des terminaux). Mais le géant du Net a brisé ce cycle en publiant une mise à jour de sécurité à la fin de la semaine dernière.
Une faille utilisée par des applications de root... mais pas seulement
La société explique que des applications permettant de rooter un smartphone utilisent une brèche afin de profiter d'une élévation des privilèges dans Android. Pour effectuer sa besogne, l'application à tout d'abord besoin d'être installée sur le portable. Afin de limiter la casse, Google explique qu'il a d'ores et déjà bloqué ce genre d'application sur le Play Store, mais également en dehors grâce aux Verify Apps.
Cette faille remonte loin puisqu'elle a été corrigée en avril 2014 sur Linux, mais sans être présentée comme un correctif de sécurité avant le 2 février 2015. Un an plus tard, le 19 février 2016, C0RE Team indique à Google qu'elle concerne également Android. Un patch est alors préparé afin d'être déployé dans la mise à jour de sécurité suivante.
Retournement de situation le 15 mars quand Zimperium précise à Google que cette faille a été exploitée sur un Nexus 5. Le père des Nexus confirme de son côté, mais ajoute qu'il n'a pas observé d'utilisation de la brèche qui mériterait d'être classée comme « malveillante ». Cela ne l'empêche pas de la juger comme critique, car elle permet une escalade des privilèges et l'exécution de code arbitraire. Décision est donc prise de la corriger en dehors du cycle traditionnel.
Un correctif disponible, mais qui pourra réellement en profiter ?
Tous les terminaux exploitant le kernel Linux 3.4, 3.10 et 3.14 sont concernés, ce qui correspond aux versions 4.2 à 5.0 d'Android. Le noyau en version 3.18 (Android 6.0) est épargné et ne nécessite donc aucune action particulière. Dans tous les cas, il est recommandé d'appliquer la mise à jour... si le constructeur la propose.
Comme toujours, c'est en effet le gros problème d'Android : la fragmentation et le suivi des mises à jour. Si Google a bien mis en ligne un patch pour AOSP sur toutes les versions touchées par cette faille, combien de fabricants proposeront le correctif à leurs clients ? Et pour ceux qui feront preuve de bonne volonté, combien feront l'effort de le déployer sur d'anciens terminaux touchés et pas que sur les modèles récents ? À n'en pas douter, assez peu.
Commentaires (58)
Si les appli du Store en cause ont été dégagé et que le Verify Apps le détecte aussi c’est pas tellement dangereux si ?
Installer un .apk malveillant hors Store en désactivant le check du Verify Apps du tél ? J’ai envie de dire bien fait…
Déjà corrigé et déployé sur les Blackberry ? :)
tout ce qu’on m’a proposé, c’est de ne plus lancer l’application qui root mon téléphone. Ce que j’ai bien sûr refusé
" />
Du coup android 5.1 est aussi touché ?
Bordel quand même android c’est du linux mais avec ses plus gros defauts ! Comment font ils pour etre aussi nul et pas savoir deployer une MAJ de securité ! Même microsoft fait mieux !
C’est un coup a nous faire passer chez iOS et pourtant jsuis pas fan de leur politique !
en fait c’est juste pour contrer les applications du type one touch root? si ces applis sont open source, et qu’elles ne font qu’installer superSU (ou autre) pour permettre de rooter son tel, ce n’est pas non plus super critique!
tu dis ça comme si Google/AOSP avait voix au chapître…
Je suis d’accord avec toi, la politique qui consiste à dire que c’est à la charge du constructeur de déployer -ou pas, surtout- les correctifs et mises à jour est un non-sens, et contre-productif. C’est selon moi débile, crétin et un argument pour trouver une autre alternative.
Après, ton troll est un trop gros, chez iOS c’est pas mieux. Ya un nouvel OS (ou m@j, on appelle comme on veut des patchs OS de 800 Mo…) tous les 36 du mois, et à chaque installation, même quand la release note ne fait que 3 lignes, tu perds 15% de performance quelque soit l’appareil que tu as. Vieux, ou neuf.
Je ne comprends pas pourquoi le modèle OS PC (Windows, Linux ou MAC) n’est pas appliqué… Quelque soit la marque ou le fabriquant du hardware (ou les* pour les PC DIY), l’OS est indépendant, et quand une mise à jour est publiée, elle l’est pour tout le monde. A chacun ensuite de l’installer ou pas, mais elle est disponible.
J’espère vraiment que cette régression dans le domaine mobile cessera rapidement.
Si Google veut qu’on utilise les smartphones pour remplacer la carte bancaire, il va falloir qu’ils se décident à instaurer un système fiable et maintenu dans le temps.
Android/Linux c’est comme n’importe quoi, quand t’installe de la merde t’attends pas à obtenir autre chose. OSX/Linux ne sont pas épargné par les virus. Juste beaucoup moins intéressant donc moins ciblé.
Pourquoi voulez-vous que les constructeurs patchent les téléphones quand on connait le turnover important des smartphones (18 mois) ? C’est du matériel jetable, OS comme hardware malheureusement.
Oui, depuis le début.
oui et non. on peut mettre à jour le téléphone avec une version de kernel/system déjà patchée pour être root. y’a pas besoin de failles pour ça.
pour rooter en mode user, oui: une faille est nécessaire.
En fait, android sur un smartphone antique datant d’un an (ironie), c’est comme avoir windows xp sur son pc actuel.
A quand des MAJ sur tous les android comme Windows/Linux/MacOS etc ?
Les chiffres de la fragmentation ne sont qu’un indicateur parmi d’autres. Les soucis de performances ne sont pas “que” chez certains. C’est global. Tout le hardware est le même, s’il y a un problème chez l’un, il y a le même problème chez l’autre. Je connais autant iOS que Android, et ni l’un ni l’autre ne me donnent satisfaction sur le plan de la gestion des correctifs de sécurité.
Avoir un téléphone largement populaire, écoulé à des dizaines de millions d’exemplaires, et savoir qu’il possède des failles critiques exploitées, qu’on sait comment corriger mais qui n’est pas corrigé in fine, c’est l’aberration la plus totale.
C’est quand meme marrant que tu arrives dans la même phrase, à critiquer android, et a encenser Blackberry…
Blackberry ont récupéré le patch qu’il lui a été fournit par google pour Android.
Google réagit rapidement, et fournit un patch pour le corriger. Ils font leurs jobs.
Blackberry prend le patch, teste rapidement et pousse le correctif. Ils font leurs jobs.
Maintenant tu peux critiquer les OEM, et les opérateurs, qui trainent les pieds, mais soit tu félicites Android ET BB, soit tu critiques android en général et tu ne cites pas BBB qui fait du très bon travail.
Les correctif de sécurité ne diminue pas les performances.
Il ne faut juste pas faire la MAJ sur les derniers Iphone supporté par une maj majeur. Sinon oui ca fais baissé les performances.
Pour le reste, je viens de passé a ios 9.3 , pas de soucis.
je résume: NON mais oui.
ou l’art de dire tout et son contraire en deux phrases.
Faut juste pas confondre mise à jour de sécurité : (ios 9.0.1⁄9.0.2 …)
Et mise à jour d’OS : Ios 8/ ios 9 …
Mise à jour de sécurité = pas de perte de perf.
Mise à jour majeur d’OS = perte de perf sur les ihone les plus vieu suporté (5 ans)
On est quand même loin du : “à chaque maj de sécu tu perds 15% de perf sur tout les iphone!” Non?
En fait les maj de sécurité ne devraient pas dépendre des constructeurs mais de Google directement …
Google devrait dire “on supporte des MAJ de sécurité jusqu’à Android 4.X par exemple” et donner des dates de vie .. un peu comme il le fait déjà pour les constructeurs ! ( un constructeur n’a pas le droit d’installer une vieille version d’Android , cette liste est révisée tous les ans ).
Sérieusement, ils attendant quoi chez Google ? moi ca me rend dingue ces trous béants dans la sécurité de mon tel …
Les mises à jour viennent du constructeur, et si tu as choisi un tél opérateur, il y en aura encore moins.
Pour une fois ce n’est pas Google.
ah ouais, mais encore ?
" />
Haha merci pour ton intervention mais faut pas généraliser,j’ai du coup l’avant dernier correctif de sécurité sur ma rom actuelle.et c’est su cm,mais officieux.
je te laisse juger.
mmmouais.
disons qu’ils ont maintenant une boite derrière qui profite du dev de la communauté.
ça reste quand même un projet communautaire.
et c’est de loin la ROM custom la plus aboutie en terme d’accessibilité.
Android 6.0 est aussi touché, je suis sous cette version et en noyuu 3.10.49.
Androïd pèche clairement de ce coté la. On aurait encore des téléphoens Maemo, ça pourrait se faire de manière aisée car ça utilisait le système des dépôts à la Linux.
Question pour les pros:
Au delà du système actuel, à quel point Google pourrait internaliser la mise à jour de certains composant de Androïd? Je veux dire que désormais le navigateur interne se met à jour par le playstore, à quel point d’autre composant du système peuvent être mise à jour indépendamment du portable?
J’imagine que TOUT les composant d’Android ne doivent pas être systématiquement adapté à CHAQUE portable, si?
Il y a quelques mois on nous promettait l’apocalypse parce que Microsoft lâchait le support de Windows XP “encore massivement utilisé” selon les cavaliers du-dit apocalypse.
Mais à côté, il y a des millions de smartphones dans la nature en mode passoire avec des mailles de 4km de large et “tout va bien, on déploiera la correction un jour (PS : achetez le nouveau modèle)”.
Merci pour la catastrophe sécuritaire.
“Le noyau en version 3.18 (Android 6.0) est épargné”
J’ai CyanogenMod 13.0 donc équivalent à Android 6.0.1 et la version du noyau est 3.4.0
J’en déduis que je suis concerné par la faille ??
Je ne l’avais pas dit dans mon commentaire, mais j’ai un nexus 4 qui a 3 ans, qui est tout à fait fonctionnel, et qui ne reçoit plus aucune maj de sécurité depuis 6 mois. Donc si c’est la faute de google.
J’aurais acheté samsung ou autre à 300€, ça ferait 2 an et demi que je n’aurais plus de maj.
Dans tous les cas c’est inadmissible.
Hello,
Ma version du kernel est la 3.1061-7086820
Ma version d’android est la 6.0.1
Malgré la mise a jour qui vient d’être diffusée ce soir et installée sur mon portable en lisant cet article, et malgré tout le respect que je dois a tous les journalistes et a celui ci en particulier, il est de mon regret de vous dire que l’on peut avoir un Kernel ~= 3.10 et une version 6.0.1 de Android, ce qui contredit le contenu de cet article en terme matching kernel/version android et le fait que mon portable a pu etre mis a jour et patche des ce soir.
My 2 cents….
Patch poussé par Google sur la branche AOSP… mon fournisseur de kernel (eng.tk - Blu_Spark pour N5) a de suite MAJ et hop… plus de faille! Le tout en quelques jours!
" />
Blâmer les OEM est une chose… dire que Google ne fait rien en est une autre!
La situation avec les nexus est la même qu’avec iOS. Ça fait des années qu’on sait que c’est ce qu’il faut prendre pour avoir un réel suivi. Et il y a encore des gens ici parfaitement au courant qui chiale
C’est déjà en partie fait avec les Play Services
La situation n’est pas la même desolé.
Le Nexus 4 ne reçoit plus de mise à jour depuis plus de 6 mois.
L’iPhone 4s reçoit toujours les mise à jour de sécurité + quelques features
Et ce, bien que l’iPhone 4S soit sorti plus d’un an avant le Nexus 4.
Et le 4S est désormais une belle brique depuis iOS9
Une brique ? Genre un truc inutilisable ? T’as des vidéos à nous montrer où on peut voir à quel point c’est lent ? Je veux bien croire qu’iOS9 l’ait ralenti, mais je pense que dire que c’est une brique est un peu fort…
Soit dit en passant, j’ai remarqué une baisse de réactivité sur mon ancien iPhone 6 aussi lors du passage à iOS9, et je dois avouer que je préfère ça plutôt qu’un OS qui évolue moins vite pour garder sa compatibilité avec le vieux matériel. Apple propose ici plus de 4 ans de support, le téléphone restant largement utilisable, et gardant les mises à jour de sécurité, la compatibilité avec les nouvelles apps, quelques nouvelles fonctionnalités… Personnellement si j’avais eu un 4S j’aurais apprécié d’avoir le choix (et j’aurais certainement fait la mise à jour). Sous Android, hors Nexus, on n’a très vite plus le choix (et j’attends de voir une vidéo comparant la vitesse d’un S3 avec un 4S sous iOS9, je suis pas convaincu que le 4S soit le plus lent, bien qu’étant le plus ancien).
Qui sont supportés moins longtemps que les iPhones aussi (cf le Nexus 4, d’un an l’ainé du 4S) : c’est ballot hein ?
Je reviens sur cette news car … J’ai un iphone 4S ios 9.2 Jailbreaké
ca tourne nickel
j’ai deux android et au bout d’un moment (grace aux mises à jour auto) ils “foirent” (reboot, appli qui se bloquent tout a coup, le google store ui ne veut pas faire les maj logiciels …. etc)
sans compter les failles,
je souhaiterai un suivis a la Apple, la liberté d’un AOSP et la fiabilité d’un Linux
parce que .. pendant ce temps la,
la vie privée sur un tel portable, c’est presque comme etre tout nu dans la rue avec des billets de banques collés au c..l
Peut-être un jour Sailfish OS… y a un espoir avec l’annonce de partenariat entre Fairphone et Jolla. Peut-être que d’autres constructeurs se lanceront.