Mensonge sur les patchs de sécurité, faut-il réellement s'inquiéter ?
Selon une étude de sécurité, certains constructeurs mentiraient sur le patch de sécurité déployé sur leurs téléphones. Certains appareils ne seraient donc pas aussi sécurisés qu'ils l'annoncent.
Le déploiement des mises à jour majeures est un sujet sensible sur Android, mais l'important est que les terminaux sont tout de même sécurisés grâce aux Google Play Services et aux patchs mensuels. Tous les constructeurs ne sont cependant pas aussi assidus concernant le déploiement de ces derniers, certains allant apparemment jusqu'à mentir à leurs utilisateurs.
Des patchs manquants
Dans un nouveau rapport de Security Research Labs (SRL), rapporté par Wired, des experts en sécurité affirment que certains fabricants affichent un niveau de sécurité qui n'est en réalité pas atteint. SRL a ainsi vérifié le firmware de 1200 téléphones de plus d'une douzaine de constructeurs afin de vérifier que les patchs de sécurités annoncés étaient bien déployés dans leur totalité. Il apparaît que certains constructeurs peuvent oublier de combler une faille ou deux d'un patch de sécurité par accident, mais que d'autres terminaux affichent de nombreuses failles toujours présentes, normalement corrigées dans le patch de sécurité "installé".
Nous avons trouvé plusieurs fournisseurs qui n'ont pas installé un seul correctif, mais qui ont modifié la date du patch du correctif de sécurité de plusieurs mois.
Parmi les mauvais élèves, ce sont surtout des constructeurs qui sont pointés du doigt avec plus de 4 patchs manquants pour TCL ou ZTE, et entre 3 et 4 pour HTC, Huawei, LG et Motorola. Samsung, pourtant dans les bons élèves à ce niveau, est cependant accusé également pour son Galaxy J3 2016 :
Le J5 2016 était parfaitement honnête sur les patchs qu'il avait d'installés et ceux qui manquaient, tandis que le J3 2016 prétendait avoir chaque patch Android publié en 2017, alors que 12 d'entre eux étaient absents, deux étant considérés comme "critiques" pour le téléphone.
Nous attendons actuellement les réactions officielles des différents concernés. Pour l'heure, seul Motorola a répondu à ces accusations en indiquant « inclure tous les correctifs applicables aux terminaux ». La marque s'est par ailleurs rapprochée de SRL afin de comprendre ce qui a mené à de telles conclusions.
Android reste sécurisé
De son côté, Google a également réagi en remettant en cause l'échantillon analysé. En effet, certains des smartphones en question ne seraient pas des terminaux certifiés et n'auraient donc pas pour obligation de correspondre aux standards de sécurité imposés par Google. On pense ici notamment à certains terminaux vendus en Chine avec un firmware bien différent de ce que l'on connait sur nos smartphones préférés.
Par ailleurs, la firme de Mountain View rappelle que son système d'exploitation possède différentes couches de protection et qu'exploiter des patchs manquants reste très difficile. Ces failles, même si elles sont mentionnées comme "critiques", peuvent donc ne représenter qu'un risque minime pour les données du téléphone concerné.
Un app pour vérifier
SRL a mis à disposition une application baptisée SnoopSnitch afin de vérifier que les patchs de sécurité installés correspondent bien à ce qui est annoncé par le constructeur.
Nous avons essayé plusieurs smartphones à la rédaction, de différentes marques (Samsung, Huawei, OnePlus, Honor...). Tous avaient bien les patchs annoncés, à l'exception peut-être du Honor 9 à qui il en manquait 6, certainement évités volontairement car ne concernant pas directement le smartphone ou peu critiques, mais en ayant 59 de plus que ce que le téléphone prétend (il faut dire que juillet 2017, ce n'est pas tout jeune).
Notons qu'on nous a signalé que le Honor 9 est censé avoir le patch de 1er janvier, ce qui supprime définitivement les patchs manquants (2e screenshot).
Il ne fait aucun doute que les différents constructeurs pointés du doigt par cette étude répondront rapidement à ces accusations et devraient rapidement éclaircir cette situation très inconfortable.