Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Une faille concernant la WebView découverte au sein d’anciennes version d’Android

Une vulnérabilité concernant l’ancienne version de WebView a été découverte au sein d’Android 4.3 et des versions antérieures de l’OS mobile. Google a affirmé ne plus vouloir mettre à jour le module à l’avenir. Mais risque-t-on réellement quelque chose ?

faille de sécurité

La WebView est un composant d’Android présent dans toutes les versions de l’OS mobile. Il s’agit d’un module permettant d’afficher du HTML, du CSS ou d’exécuter du Javascript, bref d’afficher une page web, sans avoir à développer cet affichage soi-même. Jusqu’à Android 4.3, la WebView utilisait une version différente de Webkit, différente en tout cas de celle de Chrome. Depuis Android 4.4, la WebView utilisée provient de Chromium. Il est toutefois possible d’utiliser l’ancienne version de la WebView dans Android 4.4, notamment lorsque le développeur de l’application l’a rendue compatible avec les versions précédentes d’Android.

C’est bien cette ancienne WebView qui nous intéresse ici. Selon le cabinet d’étude spécialisé dans la sécurité Rapid7, Google a non seulement arrêté les mises à jour de l’ancienne WebView mais compte en plus ne plus corriger les éventuelles failles de sécurité. Concrètement, Google va uniquement mettre à jour et corriger tout ce qui concerne la WebView à partir de Android 4.4 et les nouvelles versions d’Android. Google lui-même l’a confirmé à Rapid 7, par l’intermédiaire de l’adresse email security@android.com :

Si la version de WebView affectée date d’avant Android 4.4, nous ne développons généralement pas de patch nous-mêmes, mais nous prévenons nos partenaires du problème rencontré.

Le problème, c’est que Rapid7 trouverait régulièrement des failles ou des vulnérabilités au sein de l’ancienne version de WebView. Et que, affirme Rapid7, Google aurait arrêté de faire ces mises à jour pour des raisons purement commerciales, afin de pousser les utilisateurs à basculer sur des smartphones plus récents dotés des versions les plus récentes d’Android. Ce qui représenterait actuellement plus de 60 % du parc d’utilisateur Android, soit près d’un milliard d’utilisateurs.

Cependant Rapid7 n’indique pas la nature ni la gravité des failles et des vulnérabilités que le cabinet trouve régulièrement au sein de WebView. Dans les faits, que risquent réellement les utilisateurs de “vieilles” versions d’Android ? Nous avons posé la question à Pierre-Olivier Dybman, développeur Android :

La dernière solution pour combler ces failles provient des développeurs eux-même. Une partie du code d’Android étant open source, il est tout à fait possible pour des développeurs motivés de coder eux-mêmes des correctifs et de proposer une WebView corrigée. Il est hélas peu probable que ces derniers soient enclins à combler chaque nouvelle faille découverte.