S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Chez Google, la gestion des correctifs de sécurité a basculé sur un système de risque

Sans agence, sans Looping

Chez Google, la gestion des correctifs de sécurité a basculé sur un système de risque

Illustration : Flock

Au cours des derniers mois, la gestion des mises à jour de sécurité a évolué chez Google. Désormais, elle est basée sur une évaluation des risques, avec une priorité donnée aux failles présentant un risque accru. Pour le reste, la diffusion des correctifs adopte un rythme davantage trimestriel. Il semble que le changement ait été mis en place pour soulager les constructeurs.

Le changement a été révélé par Android Authority le 13 septembre et confirmé à demi-mot par Google. Nos confrères relèvent ainsi que le bulletin de juillet ne contenait aucune vulnérabilité corrigée, une rupture face aux 120 failles corrigées depuis le début de l’année. À l’inverse, le bulletin de septembre comportait des correctifs pour 119 failles à lui seul. Comment expliquer une telle différence ?

Une évaluation des risques

Google donne à présent la priorité aux failles comportant un risque élevé, qui ne tient pas uniquement compte de la criticité d’une vulnérabilité. L’entreprise ne détaille pas les critères d’évaluation, mais on peut supposer que le nombre de cibles potentielles et la facilité de mise en œuvre font partie des principaux, de même que l’existence d’une exploitation connue. Selon Android Authority, le mécanisme est nommé Risk-Based Update System, ou RBUS.

La règle est simple : si la faille présente un risque élevé, elle est publiée comme telle dans le bulletin mensuel, et si elle peut attendre, elle partira dans le bulletin trimestriel. Pour nos confrères, ce changement a été mis en place pour soulager les constructeurs intégrant Android dans leurs smartphones (OEM). Les failles à haut risque ont ainsi des chances accrues d’avoir un correctif rapidement diffusé, la diffusion des solutions étant parfois complexe à maintenir en fonction du nombre d’appareils concernés.

Toujours selon Android Authority, ce changement explique pourquoi le bulletin de juillet était vide : aucune faille à haut risque n’était répertoriée. Il explique aussi celui de septembre comptait autant de failles corrigées : elles avaient toutes été mises de côté pour le grand bulletin trimestriel.

Avantages et inconvénients

Bien que Google n’ait pas documenté ce changement, la société l’a confirmé à demi-mots à Android Authority :

« Les bulletins de sécurité Android et Pixel sont publiés tous les mois. Pour assurer la sécurité des utilisateurs, nous intégrons une sécurité puissante profondément ancrée dans les fondations d’Android. Android arrête la plupart des exploitations de vulnérabilité à la source grâce à un renforcement complet de la plate-forme, comme notre utilisation du langage Rust et des protections anti-exploitation avancées. Android et Pixel corrigent en permanence les failles de sécurité connues et donnent la priorité à la correction des vulnérabilités les plus risquées en premier »

Côté utilisateurs, rien ne change vraiment dans la plupart des cas. Les constructeurs décidant d’appliquer quand même les correctifs de sécurité tous les mois pourront continuer à le faire. Ceux souhaitant un rythme plus souple ne diffuseront alors des correctifs mensuels que si des failles à haut risque y sont présentes, et se contenteront d’une grosse mise à jour tous les trois mois dans le cas contraire.

Les avantages ne concernent a priori que les OEM, qui ont parfois du mal à tenir le rythme, selon les gammes commercialisées et le nombre de modifications faites sur la base d’Android. En leur offrant un nouveau cycle trimestriel, ils peuvent en théorie mieux préparer le terrain.

L’approche a également ses inconvénients. Retarder la publication des mises à jour peut laisser le temps à certaines failles d’être exploitées. Car les informations circulent : si des failles sont trouvées, les entreprises sont averties, de même que les équipes d’ingénieurs. Plus il y a de personnes au courant, plus le risque de fuite augmente, et avec lui la probabilité d’une exploitation.

Un système complexe

Le problème des mises à jour de sécurité sur Android est débattu depuis longtemps, avec toujours le même constat : les constructeurs doivent jouer le jeu. La pluralité des gammes et le nombre de modifications apportées à la base d’Android peuvent ralentir l’application des correctifs, car il faut mener suffisamment de tests pour s’assurer du bon fonctionnement. Plus il y a d’appareils dans les gammes, plus ce travail est conséquent.

Comme le rappelle d’ailleurs Android Authority, les entreprises ne jouent pas toutes le jeu de la même manière. Si l’on voit depuis deux ans des annonces très importantes sur la durée du support, notamment sur les Pixel et les Galaxy S de Samsung, un bon support est trop souvent dépendant de la gamme. De nombreux appareils d’entrée ou milieu de gamme ont un support limité de quelques années, les correctifs de sécurité n’arrivant pas tous les mois. C’est d’ailleurs ce qui a poussé l’Union européenne à imposer un nouveau minimum de cinq ans pour les mises à jour logicielles sur tous les nouveaux appareils.

Google connait bien le problème. Le projet Mainline (initié avec Android 10, mais arrivé concrètement dans les versions suivantes) a notamment été instauré pour augmenter le nombre de composants pouvant être mis à jour directement par Google Play. Mais de nombreux composants bas niveau ne peuvent être modifiés que par les constructeurs. Aussi, lorsque Google signale une faille et prépare une modification de code, celle-ci n’est pas publiée immédiatement dans AOSP (Android Open Source Project), pour que les modifications de code ne révèlent pas les détails de la brèche.

Le nouveau mécanisme ne remet pas en cause l’Android Security Bulletin mensuel. L’ASB dispose pour rappel de deux versions : une publique pour lister les failles corrigées, et une privée pour avertir les OEM un mois avant et leur laisser le temps d’intégrer les correctifs. En revanche, certains bulletins seront parfois vides, qu’ils soient publics ou privés. Les bulletins complets seront désormais alignés sur le rythme trimestriel d’Android depuis sa dernière version 16, ce qui pourrait bien poser problème aux ROM personnalisées.

Commentaires (13)

votre avatar
aiRBUS? :dd:
votre avatar
Ce nouveau système ne me convainc absolument pas et me fait penser à Microsoft et ses mises à jours mensuelles du mardi. Il s'agit justement d'un aspect sécuritaire qui est pour moi une aberration et qui me fait préféré une distribution GNU/Linux où les mises à jours sont mises à disposition avec plus de réactivité. Quand aux OEM, ils n'ont qu'à prendre leur responsabilité quand ils fournissent leurs modèles. Le smartphone est devenu un tel fourre-tout avec une multitude d'applications plus ou moins utiles, voire indispensables suivant le contexte professionnel par exemple, qu'il est important qu'il soit maintenu à jour régulièrement. Et sur ce point, la responsabilité de Google est importante autant que celle des fabricants.

Le sous-titre est génial, mais est-ce que ce plan de Google se déroulera sans accroc ?
votre avatar
Oui pareil. Je trouve très pernicieux que la "non exploitation" soit un critère pour réduire l'urgence d'une faille. En effet, quand on observe qu'une faille n'est pas exploitée, cela veut juste dire qu'on n'a pas encore constaté qu'elle l'était... ce qui ne veut pas dire qu'elle n'est pas utilisée, au contraire : on n'a pas détecté son utilisation. C'est très différent. Par contre, une fois qu'on a détecté un usage, on n'a plu de doute. Là, on laisse un boulevard ouvert aux malwares/hackers tant qu'ils savent rester "discrets" par exemple par ce qu'ils ciblent peu de machines, et ne se laissent pas détecter par une protection logicielle.
votre avatar
Qui a parlé d'exploitation ?

Quand c'est déjà exploité, c'est qu'il est déjà trop tard.

Là, on parle d'évaluation du risque (d'exploitation et d'incidence). Personnellement, sur le principe, ça me paraît plutôt censé, et plus efficient. Les fabriquants mettent beaucoup (trop) de temps à valider et sortir leurs versions correctives. En ne se concentrant que sur ce qui est réellement dangereux à court terme, ça allègera le contenu des versions correctives. Ça permettrait à celles-ci de sortir beaucoup plus rapidement, et donc de réduire la fenêtre de tir d'exploitation des failles. Bien entendu, ça supose que le risque d'exploitation soit correctement évalué en entrée. Vu que, pour l'instant, l'intégration des correctifs est beaucoup trop lent, en pratique, les utilisateurs auraient tout à y gagner. Ce qui compte avant tout, c'est de réduire le nombre d'exploitations et leur incidence. Par rapport à leur clients (et leur image), les fabriquants mettent en balance le risque de corriger trop tard et celui d'introduire des défauts de fonctionnement ou des plantages. Ils s'imposent donc un processus plutôt lourd et contraignant pour tenter de garder tout sous contrôle. Dans un tel cadre, du point de vue de la sécurité, vouloir absolument tout corriger va, paradoxalement, à l'encontre du but recherché.

De toute façon, les failles les plus dangereuses sont celles dont les développeurs n'ont pas encore connaissances. Pour celles-là, quelque soit le processus d'intégration des correctifs, il sera toujours trop tard.
votre avatar
Dans le cas de microsoft, les mises à jour au fil de l'eau mettait une grosse pression sur les entreprises où, avant de déployer un correctif, on doit faire des tests de non regression. avoir une date connue permet de planifier le travail des équipes.
votre avatar
Pour gérer les mises à jour et leur application en entreprise, Microsoft propose justement le serveur WSUS. Mais avec cette politique des mises à jour uniquement mensuelles pour tout le monde, Microsoft laisse le champ libre à toute une série de failles exploitées...
votre avatar
Donc les failles détectées ne sont pas immédiatement corrigées dans AOSP ? C'est bien pour la sécurité ça, non ?
votre avatar
Le sous-titre m'a bien fait rire ...
Et j'ai la musique dans la tête maintenant. :D

Pour les changements de correction des failles sur Android, si j'osais (et j'ose) je me demanderais si cela ne pourrait pas permettre à une certaine administration d'en profiter pour "récupérer" ds informations via des smartphones directement ... :D

Et c'est assez ironique, voir sarcastique de la part d'une boite qui exige que les failles qu'eux détectent sur des produits d'autres boites soient corrigées dans le temps imparti, sans quoi Google rend le truc public ...

Faites ce que je dis, pas ce que je fais
votre avatar
Même les sous titres appartiennent aux boomers.
À mon avis, les jeunes n'ont pas la rèf.
votre avatar
Moi non plus je ne l'ai pas mais peut-être que c'est dû au fait d'avoir grandi sans télé à la maison
votre avatar
L'agence tout risques.
votre avatar
:merci::inpactitude2:
votre avatar
@Juju251

"Si vous avez un problème , si personne ne peut vous aider, si vous pouvez les trouver alors peut-être que vous pourrez louer leurs services "

(ça c'est la version US du générique original :D)