Le déploiement des mises à jour majeures est un sujet sensible sur Android, mais l’important est que les terminaux sont tout de même sécurisés grâce aux Google Play Services et aux patchs mensuels. Tous les constructeurs ne sont cependant pas aussi assidus concernant le déploiement de ces derniers, certains allant apparemment jusqu’à mentir à leurs utilisateurs.
Des patchs manquants
Dans un nouveau rapport de Security Research Labs (SRL), rapporté par Wired, des experts en sécurité affirment que certains fabricants affichent un niveau de sécurité qui n’est en réalité pas atteint. SRL a ainsi vérifié le firmware de 1200 téléphones de plus d’une douzaine de constructeurs afin de vérifier que les patchs de sécurités annoncés étaient bien déployés dans leur totalité. Il apparaît que certains constructeurs peuvent oublier de combler une faille ou deux d’un patch de sécurité par accident, mais que d’autres terminaux affichent de nombreuses failles toujours présentes, normalement corrigées dans le patch de sécurité « installé ».
Nous avons trouvé plusieurs fournisseurs qui n’ont pas installé un seul correctif, mais qui ont modifié la date du patch du correctif de sécurité de plusieurs mois.
Parmi les mauvais élèves, ce sont surtout des constructeurs qui sont pointés du doigt avec plus de 4 patchs manquants pour TCL ou ZTE, et entre 3 et 4 pour HTC, Huawei, LG et Motorola. Samsung, pourtant dans les bons élèves à ce niveau, est cependant accusé également pour son Galaxy J3 2016 :
Le J5 2016 était parfaitement honnête sur les patchs qu’il avait d’installés et ceux qui manquaient, tandis que le J3 2016 prétendait avoir chaque patch Android publié en 2017, alors que 12 d’entre eux étaient absents, deux étant considérés comme « critiques » pour le téléphone.
Nous attendons actuellement les réactions officielles des différents concernés. Pour l’heure, seul Motorola a répondu à ces accusations en indiquant « inclure tous les correctifs applicables aux terminaux ». La marque s’est par ailleurs rapprochée de SRL afin de comprendre ce qui a mené à de telles conclusions.
Android reste sécurisé
De son côté, Google a également réagi en remettant en cause l’échantillon analysé. En effet, certains des smartphones en question ne seraient pas des terminaux certifiés et n’auraient donc pas pour obligation de correspondre aux standards de sécurité imposés par Google. On pense ici notamment à certains terminaux vendus en Chine avec un firmware bien différent de ce que l’on connait sur nos smartphones préférés.
Par ailleurs, la firme de Mountain View rappelle que son système d’exploitation possède différentes couches de protection et qu’exploiter des patchs manquants reste très difficile. Ces failles, même si elles sont mentionnées comme « critiques », peuvent donc ne représenter qu’un risque minime pour les données du téléphone concerné.
Un app pour vérifier
SRL a mis à disposition une application baptisée SnoopSnitch afin de vérifier que les patchs de sécurité installés correspondent bien à ce qui est annoncé par le constructeur.
Nous avons essayé plusieurs smartphones à la rédaction, de différentes marques (Samsung, Huawei, OnePlus, Honor…). Tous avaient bien les patchs annoncés, à l’exception peut-être du Honor 9 à qui il en manquait 6, certainement évités volontairement car ne concernant pas directement le smartphone ou peu critiques, mais en ayant 59 de plus que ce que le téléphone prétend (il faut dire que juillet 2017, ce n’est pas tout jeune).
Notons qu’on nous a signalé que le Honor 9 est censé avoir le patch de 1er janvier, ce qui supprime définitivement les patchs manquants (2e screenshot).
Il ne fait aucun doute que les différents constructeurs pointés du doigt par cette étude répondront rapidement à ces accusations et devraient rapidement éclaircir cette situation très inconfortable.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Samsung, toujours numéro un...de l arnaque!
Plutôt correct sur mon asus Zenfone 3 ? https://uploads.disquscdn.com/images/0d457b1b1d05dcd536da628fd6bee8e1d764a54537a7de877613506b9e50d0e2.jpg
J'ai un doute sur la fiabilité de ta page car perso mon Asus date de 2016 et pourtant chaque mois depuis son achats j'ai bien les maj de sécurité, il est sous Android oreo depuis l'année dernière et si je lance un scan c'est plutôt positif également, tout dépend si les constructeurs jouent ou pas le jeux mais tous ne sont pas mauvais heureusement https://uploads.disquscdn.com/images/0d457b1b1d05dcd536da628fd6bee8e1d764a54537a7de877613506b9e50d0e2.jpg
Asus ça compte ? ?
"Achetez des téléphones chinois, c'est moins cher." :')
H https://uploads.disquscdn.com/images/4840637ae8da3c4902b70cf25edc80db3770baedeb9351825a47509acf46fb4e.jpg Honor view 10
Nexus 6P https://uploads.disquscdn.com/images/a7fd0d4d598e46b12a2f1d073e1e8b3a66ba6e9359ac34c9b36123d80e84139c.png
Je pense que le programme n'est pas compatible à 100% avec tous les smartphones, moi aussi j'ai eu 1 à cette ligne et pourtant il m'a affiché 0 patch manquant
J'ai testé mon Nokia 8, et je n'ai aucun patch manquant (Android 8.1 - patch 1/4/2018)
HTC....... :(
V30, uniquement https://uploads.disquscdn.com/images/75290528af536e56589da46db1d9827c7968bdd80447de883e39162deb4fdf72.png 1
Ca veut dire quoi test inconclusive (test non concluant) ?
Wiko n'est pas connu pour son support exemplaire, ce qui est mesuré ici c'est l'écart entre ce qui est dit et ce qui est "comblé".
Et ? Tout le monde en a rien a faire de la securité. Ca n interesse personne et ca n entre pas dans des criteres d achat. C est juste une realité.
Android reste sécurisé ? Quelle blague ! https://twitter.com/SecX13/status/968225118517452800
Xiaomi Mi5sPlus 172 2 0 51 0
<blockquote>Il ne fait aucun doute que les différents constructeurs pointés du doigt par cette étude répondront rapidement</blockquote> C'est cela, oui... Ils vont continuer comme ils ont toujours fait : un doigt levé bien haut !
Pour info... LG G6.... https://uploads.disquscdn.com/images/d0b47924fcb85995c4d0e407307de36a1be0388addb1c2a94a9332a023f510e0.png https://uploads.disquscdn.com/images/5d7fd06d5d4bad09cea501f626acdedb67f43b09df821d0195643e0a6f17ee4c.png
Mais... T'es encore banni, toi?
Tu m'as tué et tu l'a tué par la même occasion ?
Et oui rien d'étonnant
Ils ne mentent pas sur les patch puisqu'ils ne déploient pas de patch ? J'en sais rien mais ça pourrait être la raison, rien n'indique le contraire dans la formulation
Ah oui effectivement ! Bien joué l'ami !
Faux concernant le Honor 9 aucun patch manquant je viens de le faire avec l'application !
Sécurité et Android sont 2 mots qui ne peuvent être utilisés dans la même phrase ?♂️
+1
Mais... Ces mouchards sont SECURISES! ;)
Wiko ils ne mentent pas sur les patchs de sécu mais tu as aussi les mouchards chinois :p
Ce que je retiens, c'est que Wiko est un bon élève! Mdr
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix