Ouvrir le menu principal

iGeneration

Recherche

Google ne peut plus corriger les vulnérabilités des versions d'Android les plus populaires

Florian Innocente

lundi 26 janvier 2015 à 10:30 • 74

Android

Google a expliqué pourquoi il n'y aurait pas de correctif pour la dernière faille de sécurité (en date) recensée dans le moteur de rendu de pages web d'Android 4.3 ou antérieures.

C'est à l'intérieur de WebView qu'est logée cette faille (mais elle n'est pas la seule). Ce composant système permet l'affichage des pages web et l'exécution de code JavaScript. Depuis Android 4.4 KitKat, WebView a changé de cheval, sautant du moteur WebKit qu'utilise Apple à Blink mis au point par Google et régulièrement mis à jour. WebView, à l'origine, est utilisé dans Android Browser, le navigateur de base fourni avec l'OS. WebView peut aussi servir à des éditeurs tiers dont les applications ont besoin d'afficher des contenus web ou des publicités.

Sur son blog, Tod Beardsley s'alarmait il y a quelques jours de la véritable boite à outils offerte par ces failles de sécurité à des malandrins qui souhaiteraient par exemple détourner des utilisateurs vers des sites fallacieux et récupérer des données privées. Il s'étonne encore que Google soit prêt à corriger une faille dans le composant AudioPlayer de ces anciens Android mais pas à refermer dans WebView une des plus belles portes d'entrées pour les amateurs de vulnérabilités.

Membre de l'équipe sécurité d'Android, Adrian Ludwig est revenu sur le sujet pour expliquer la position de son employeur. Comme indiqué précédemment, Google n'apportera aucun correctif à WebView dans ces anciennes versions d'Android (Jelly Bean n'est pas si vieux, sorti mi-2012 sa dernière révision date d'octobre 2013).

Google, explique-t-il, n'a plus les moyens de mettre à jour un composant aussi complexe et qui, de par sa nature open source, est en constante évolution. Cet effort a été encore fait récemment mais ce n'est plus tenable :

À lui seul, WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles modifications chaque mois, de sorte que, dans certains cas, appliquer des correctifs de vulnérabilité sur une branche de WebKit vieille de 2 ans et plus impose des changements sur des volumes de code importants et ce n'était plus gérable de le faire de manière fiable. Avec les progrès d'Android 4.4, le nombre d'utilisateurs qui sont susceptibles d'être affectés par des problèmes de sécurité hérités de WebKit diminue chaque jour, alors que de plus en plus les gens se mettent à jour ou achètent un nouveau terminal.

Mécaniquement, il est vrai que la part de risques va aller décroissante, mais il y a encore de la marge. En se basant sur les statistiques de Google, les 4 version d'OS concernées - Froyo, Gingerbread, Ice Cream Sandwich et Jelly Bean - pèsent encore pour 60,9% des connexions faites sur Google Play. Dans le lot évidemment certains utilisent probablement Chrome plutôt qu'Android Browser. Restent les apps tierces.

Les solutions répétées par Adrian Ludwig sont multiples. Pour s'affranchir des risques posés par les failles, les utilisateurs peuvent passer à KitKat (encore faut-il que cela soit possible pour leur terminal…). Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit. Chrome marche à partir d'Android 4.0 et Firefox fait mieux encore en remontant jusqu'à Android 2.3 (Opera utilise aussi Blink). Sans oublier que Chrome figure en bonne place et par défaut sur de multiples téléphones de grandes marques.

D'autres solutions sont proposées aux développeurs qui utilisent l'ancien WebView, comme de suivre les recommandations de Google en termes de sécurité pour éviter le chargement de sites litigieux ou, carrément, d'intégrer leur propre moteur. C'est vers ce type d'applications "sûres" que les utilisateurs doivent aller, en les choisissant sur Google Play.

Adrian Ludwig insiste sur le fait que Google ne se contente pas de mettre à jour l'OS du moment, mais qu'il tient à jour les deux dernières versions en date.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

AirPods Max : Apple a repoussé la sortie du firmware pour l'audio lossless

09:38

• 18


Apple Invitations passe en version 1.1

01/04/2025 à 22:30

• 15


Non, nous ne sommes pas le 1er mars sur l'icône du calendrier, et Apple a un problème de cohérence dans ses systèmes

01/04/2025 à 21:15

• 27


Quel iPhone choisir ? Notre guide d'achat 2025

01/04/2025 à 20:30

• 9


Comme Siri, Alexa+ ne tient pas encore toutes les promesses d'Amazon

01/04/2025 à 17:15

• 10


iOS 18.4 : le réseau Localiser officiellement lancé en Corée du Sud

01/04/2025 à 16:30

• 10


Promo : -200 € sur des iPhone 16 Pro, Pro Max et 16 Plus

01/04/2025 à 14:45

• 6


VoiceOver, plage braille : du neuf côté accessibilité sur iOS 18.4

01/04/2025 à 11:30

• 9


Carte d'identité : la demande de renouvellement sans motif de perte ou de vol est disponible

01/04/2025 à 10:50

• 54


Les iPhone XS ne seraient pas compatibles avec iOS 19

01/04/2025 à 10:18

• 37


Nouveau firmware pour les AirPods et Lossless pour l'AirPods Max USB-C

01/04/2025 à 09:04

• 37


Sondage : connaissez-vous les prisons pour smartphones, une méthode physique pour restreindre l'addiction aux écrans ?

01/04/2025 à 08:00

• 31


Promo Amazon : -100 € à partir de 999 € d'achat sur des iPhone 16 et 16 Pro, Apple Watch, iPad…

01/04/2025 à 07:24

• 4


Apple TV+ : la série Slow Horses récolte 6 nominations aux BAFTA

01/04/2025 à 00:06

• 10


Apple Intelligence dispo en France : toutes les nouvelles fonctions pour votre iPhone et votre Mac

31/03/2025 à 21:47

• 72


iOS 15.8.4, macOS 13.7.5 : des mises à jour pour les appareils anciens

31/03/2025 à 21:33

• 27