Google a réagi promptement à la découverte de la faille Heartbleed en patchant en quelques heures ses principaux services. Cette faille du protocole SSL permet à un attaquant de subtiliser des données normalement protégées.
Sur son blog dédié à la sécurité, Google indique ainsi que « toutes les versions d'Android sont immunisées à [la faille] CVE-2014-0160 »... toutes, sauf une. « À l'exception d'Android 4.1.1 », est-il précisé entre parenthèses.
Dans les statistiques d'utilisation d'Android, Google ne donne pas le détail des sous-versions de son système. On sait juste qu'Android 4.1.x représente 34,4 % des appareils utilisés — trois versions ont été sorties : 4.1.0, 4.1.1 et 4.1.2. Compte tenu du succès du système de Google, et de sa fragmentation, on peut imaginer que plusieurs millions de terminaux sont toujours sous Android 4.1.1.
Un porte-parole de Mountain View a confirmé à Bloomberg que, en effet, plusieurs millions d'appareils fonctionnent encore avec cette version spécifique. Le premier opérateur américain, Verizon, est actuellement en train de travailler avec les constructeurs pour déployer le patch.
Ce week-end, l'éditeur de logiciel de sécurité Lookout, qui a publié une app pour voir si son smartphone est touché, déclarait que plus de 80% des appareils Android 4.1.1 étaient toujours vulnérables.
Les utilisateurs doivent-ils s'alarmer pour autant ? Non, selon Lookout qui explique que les smartphones sont des cibles moins attrayantes pour les hackers malveillants car ils doivent être visés individuellement, contrairement à un site web qui permet de récupérer à lui seul les données de nombreuses personnes.
Sur le même sujet :