Faille KRACK : Android devrait-il prendre exemple sur Windows ?

 
Google publiera un correctif de sécurité pour Android colmatant la faille KRACK. Néanmoins, celui ci sera disponible près d’un mois après le patch déployé par Microsoft sur Windows. Un exemple à suivre ?

Microsoft dégaine le premier

La faille KRACK est embarrassante pour deux raisons. La première, c’est qu’elle s’attaque à la protection WPA2, réputée comme la plus sûre. Autant dire que c’est le Wi-Fi dans son ensemble, qui est compromis. La seconde, c’est qu’elle révèle une certaine hiérarchie en matière de correction de cette faille, présentée cette semaine, mais connue depuis le mois de juillet dernier.

Microsoft l’a déjà colmatée dans sa mise à jour pour Windows 10, 8.1 et 7 distribuée le 10 octobre, Apple a un correctif sur les rangs, mais il ne sera intégré qu’aux prochaines mises à jour mineures de macOS, iOS, watchOS et tvOS, toutes encore en bêta sans date de sortie ferme. Et Google, éditeur du système d’exploitation mobile le plus utilisé au monde ? Le 6 novembre. Un patch de sécurité sera distribué le 6 novembre. Enfin sur les appareils gérés directement par Google au moins. Pour les autres, cela dépendra du sérieux des constructeurs. Certains comme HMD/Nokia sont plus réactifs que d’autres, parfois même plus rapides que Google !

Nokia fait partie des bons élèves pour le déploiement des mises à jour de sécurité Android.

Du fiasco Windows XP au Patch Tuesday

Microsoft premier de la classe, cela pourrait être un troll, quand on connaît l’historique de la firme de Redmond en matière d’attaque de malwares en tous genres, mais c’est pourtant vrai. Microsoft a été confronté à la vulnérabilité de Windows de la manière la plus violente qui soit, à l’époque où il suffisait presque de connecter son PC à Internet pour attraper un virus, et en a tiré les leçons en mettant en place, quelques mois après la sortie de Windows XP, un processus de sécurisation dont on ne peut que constater l’efficacité aujourd’hui, du moins pour les machines qui restent à jour, l’utilisation de vieilles versions de Windows et de logiciels tiers non patchés restant son talon d’Achille.

Windows XP et ses collines verdoyantes où couraient les chevaux de Troie…

Sans rentrer dans les détails des initiatives mises en place à l’époque, c’est un cycle de développement entier qui a été mis au point, pour intégrer la sécurité à chaque étape de la création d’une nouvelle version de Windows, accompagné d’une démarche de suivi après la sortie. La mesure la plus emblématique de cette stratégie est la création des « patch tuesday », ces mises à jour de sécurité mensuelles effectuées le deuxième mardi de chaque mois. Et c’est justement via un patch tuesday que Windows 10, 8.1 et 7 ont déjà bénéficié d’un correctif contre la faille KRACK.

Project Treble : un espoir pour Android

Bien sûr, Google a également un programme de mises à jour de sécurité régulières. Le problème, c’est qu’il n’est efficace que si les constructeurs jouent le jeu. Et on ne peut pas dire que ce soit complètement le cas. C’est forcément plus simple pour Microsoft qui contrôle toute la chaîne. Cela dit, c’est aussi le cas d’Apple, pourtant aucune mise à jour n’a été finalisée pour le moment, parce que leur processus est visiblement plus lent.

Le Huawei Mate 10 Pro bénéficiera de Project Treble

Il n’y a donc plus qu’à espérer que la situation, côté Android, puisse s’accélérer. Cela fait partie des multiples bénéfices du Project Treble, qui sépare Android en deux partitions, une pour Google et une pour les constructeurs et opérateurs, ce qui devrait à terme faciliter le déploiement de ces correctifs. Les terminaux commercialisés directement sous Android Oreo l’intègrent, et ils commencent à arriver avec les Pixel 2 et Pixel 2 XL, les Sony Xperia XZ1 et XZ1 Compact, et les Huawei Mate 10 et Mate 10 Pro fraichement annoncés.

La bonne nouvelle est que Treble pourra également concerner des smartphones déjà commercialisés : on apprenait hier que la mise à jour Android Oreo/EMUI 8.0 destinée au Huawei Mate 9, prévue pour décembre, rendrait ce dernier compatible Treble. Encore plus que l’adoption plus rapide des dernières fonctionnalités d’Android, ce serait là le progrès le plus radical apporté par cette évolution.


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.

Les derniers articles