LaboFnac

Android : quand des constructeurs zappent les mises à jour de sécurité

Des chercheurs font état de mises à jour de sécurité pas très bien suivies chez certains constructeurs. En première ligne, leurs mobiles d'entrée de gamme.

Et si les mises à jour de sécurité protégeant votre mobile d’éventuelles vulnérabilités n’y étaient pas vraiment installées ? C’est le doute que font aujourd’hui planer les spécialistes de la sécurité de chez Security Research Labs, basé en Allemagne. Avant la présentation complète de leurs travaux dans le cadre de la conférence Hack in the Box, qui aura lieu ce week-end à Amsterdam, Wired a pu s’entretenir avec deux de ces chercheurs, Karsten Nohl et Jakob Lell. Le site américain livre ainsi un aperçu de leurs conclusions. Et elles ne sont pas très rassurantes.

Sécurité Android

© Wired

Security Research Labs (SRL) indique avoir évalué l’installation des patchs de sécurité de 2017 sur 1200 smartphones Android issus d’une douzaine de constructeurs. D’après ses travaux, seuls les Pixel – ces smartphones vendus par Google et conçus en partenariat avec HTC – sont parfaitement à jour. C’est un peu ou beaucoup moins le cas chez les constructeurs tiers. Sony, Samsung et Wiko se classent parmi les bons élèves, avec en moyenne un patch manquant par smartphone, tandis que Xiaomi, OnePlus et Nokia en manque entre un et trois. Trois ou quatre patch en moyenne font défaut aux produits de HTC, Huawei, LG et Motorola, et un peu plus encore chez TCL et ZTE. Ces résultats, en soi, ne veulent pas dire grand-chose, puisqu’ils représentent une moyenne. Par exemple, le Galaxy J3 2016 a, toujours d’après SRL, fait l’impasse sur douze patchs. Côté plateformes, celles de Samsung (Exynos) manquent en moyenne 0,5 patch ; celles de Qualcomm, 1,1 ; celles de Huawei (HiSilicon), 1,9, tandis que celles de MediaTek montent à une moyenne de 9,7. Les modèles les moins performants semblent ainsi les moins bien lotis.

Les mises à jour de sécurité, donc, seraient mal suivies, mais les conclusions des chercheurs en sécurité vont plus loin. Car s’ils observent que certains constructeurs indiquent bien les patchs manquants, d’autres assurent à tort avoir mis à jour leurs produits. Pire, des marques modifieraient la date d’anciennes mises à jour, laissant croire à leurs clients que leurs produits disposent des patchs les plus récents. Wired ne cite pas explicitement les marques ni les produits concernés. Il n’est toutefois pas très difficile de contrôler l’état de chaque smartphone individuellement : Security Research Labs propose une application Android dédiée. Google, de son côté, se veut rassurant, et rappelle que même en l’absence de tous les patchs de sécurité disponibles, Android dispose de suffisamment de niveaux de sécurité pour protéger efficacement les mobinautes. Mais cela ne résout en rien la question de la confiance des utilisateurs envers leurs constructeurs que soulève SRL.

Laure Renouard

Laure Renouard

Journaliste - Fonctionne aussi hors connexion


Contenus associés

Partager cet article :

Attention, vous avez déjà 3 produits dans le comparateur : supprimez un de ces produits pour rajouter celui-ci au comparateur.