Il y a deux semaines, un cabinet d’étude spécialisé dans la sécurité révélait que de nombreuses failles dans l’ancienne WebView étaient présentes au sein d’anciennes versions d’Android. Ce même cabinet rapportait alors que Google ne comptait pas les corriger. L’un des développeurs d’Android a expliqué ce weekend pourquoi Google ne compte pas mettre à jour l’ancienne WebView d’Android 4.3 et de ses versions précédentes.

android 4.3.1 jelly bean razorg google asus nexus 7 2013 lte image 0

Rappelons rapidement les faits. Il y a deux semaines environ, le cabinet d’étude Rapid7 expliquait que l’ancienne WebView présente au sein des versions d’Android 4.3 et des versions précédentes était truffée de failles critiques. La WebView est un composant d’Android qui permet aux développeurs d’application d’afficher des pages web sans avoir à développer eux-mêmes un programme pour les afficher. Rapid7 avait alors contacté Google pour le prévenir de ces failles mais s’était vu répondre qu’il n’était pas question pour les développeurs d’Android de la mettre à jour. La nouvelle avait alors provoqué un petit scandale.

Google a enfin pris le temps de répondre à cette affaire de WebView. Plus exactement, c’est le développeur Adrian Ludwig, l’un des responsables de la sécurité d’Android, qui a expliqué pourquoi Google ne comptait pas mettre à jour l’ancienne version de la WebView sur son compte Google+. Adrian Ludwig explique tout d’abord qu’il existe un moyen très simple de corriger cette faille de WebView : passer son smartphone sous Android KitKat ou Lollipop. Après tout, la nouvelle WebView est basée sur Chromium depuis KitKat et rien (ou presque) n’empêche les constructeurs de faire une mise à jour de leurs appareils. Un argument qui n’est peut-être pas tout à fait de bonne foi mais qui se tient d’un point de vue purement pratique.

Concernant la mise à jour de l’ancienne WebView, Adrian Ludwig explique qu’il est actuellement très compliqué de la mettre à jour. L’ancienne version de WebView représente aujourd’hui plus de 5 millions de lignes de code, explique-t-il, et des centaines de développeurs ajoutent continuellement des milliers de nouveaux commits chaque mois. Effectuer des mises à jour de sécurité sur cette WebView est donc non seulement très compliqué et engendrerait plus de problèmes qu’elle n’en corrigerait. De plus, ajoute-t-il, comme de plus en plus d’appareils sont à mis à jour sous KitKat, le nombre d’utilisateurs concernés par les failles de sécurité de cette vieille WebView décroît de jour en jour.

Enfin, Adrian Ludwig propose quelques conseils quand il n’est pas possible de se passer de l’ancienne WebView. Il propose ainsi d’utiliser des navigateurs web sûrs à la place de WebView pour afficher une page web (Chrome ou Firefox par exemple) et propose aux développeurs de n’utiliser la WebView que sur des pages web de confiance, comme des pages chiffrées (en HTTPS). Dans le pire des cas, les développeurs peuvent eux-mêmes développer leur propre outil pour des appareils Android installés sous les version 4.3 ou précédentes afin d’afficher une page web sans craindre les failles. En d’autres termes, « débrouillez-vous »