Comme les constructeurs de PC, Google, Samsung et LG vont commencer à livrer des correctifs de sécurité mensuels pour les appareils Android afin de répondre aux problèmes chroniques posés par les vulnérabilités critiques qui mettent régulièrement à mal la sécurité de leurs utilisateurs. En premier lieu, ils livreront un correctif pour la faille Stagefright qui expose actuellement des centaines de millions de smartphones Android. Cela fait des années que les experts en sécurité mettent en garde contre la lenteur des mises à jour des appareils Android, même quand les fabricants se donnent la peine de livrer un correctif pour combler une vulnérabilité critique. Les mobiles et tablettes tournant sous Android ont été de plus en plus ciblés par les pirates qui cherchent à voler des données ou usurper l’identité des utilisateurs.
Pour parer enfin à ce problème, « Google livrera une mise à jour de sécurité over-the-air mensuelle pour ses terminaux Nexus », a déclaré Adrian Ludwig, ingénieur en chef de la sécurité Android, lors de la conférence Black Hat qui se tient jusqu’à aujourd’hui à Las Vegas. « Les terminaux Nexus continueront à recevoir des mises à jour majeures pendant au moins deux ans et des correctifs de sécurité pendant un maximum de trois ans à compter de leur disponibilité initiale, soit 18 mois à partir de la date de fin de commercialisation de l'appareil sur le Google Store », a-t-il encore écrit dans un blog. « La première mise à jour, livrée hier, a essentiellement pour objectif de corriger la vulnérabilité Stagefright », a-t-il précisé.
Stagefright prend le contrôle du terminal à distance
La plupart des appareils Android sont exposés à la faille Stagefright, qui permet de prendre le contrôle à distance du terminal à l’aide d'un simple message multimédia spécialement conçu (MMS). Pour cela, l’attaquant n'a même pas besoin que de connaître le numéro de téléphone de la victime. « Depuis trois ans, Google fournit aux constructeurs des avis quasi mensuels sur les correctifs de sécurité », a encore écrit l’ingénieur en chef, mais cela ne signifie pas nécessairement que ces mises à jour parviennent aux utilisateurs, notamment parce que leur déploiement nécessite des accords avec les opérateurs mobiles.
« Samsung est actuellement en discussion avec les opérateurs partout dans le monde pour mettre en œuvre cette nouvelle stratégie », a indiqué de son côté le constructeur coréen dans un blog. « Nous donnerons bientôt plus de détails sur les modalités et le calendrier que nous avons pu mettre en place avec ces opérateurs et nos partenaires ». Samsung a également démarré un système de mises à jour accélérées pour sa ligne de terminaux Galaxy afin de les protéger au plus vite contre la faille Stagefright. Lors de la conférence Black Hat 2015, Adrian Ludwig a également annoncé que LG avait pris un engagement similaire.
Microsoft a démarré en 2003 son Patch Tuesday mensuel
C’est en 2003 que Microsoft a commencé à livrer des correctifs mensuels, ses fameux Tuesday Patch. Le nombre croissant de failles identifiées dans ses systèmes d'exploitation inquiétaient de plus en plus les experts en sécurité. Microsoft continue à livrer ses correctifs le deuxième mardi de chaque mois. Pour les vulnérabilités plus critiques, l’éditeur fait parfois des entorses à ce calendrier en livrant un correctif d'urgence. En 2009, Adobe Systems a également mis en place un calendrier de correctifs réguliers, ses produits étant devenus une cible privilégiée des pirates. De son côté, Oracle fournit une mise à jour trimestrielle, généralement assez fournie.
Commentaire