Google ne corrigera pas une faille touchant 60 % des utilisateurs Android

Stéphane Moussie |

« Si la version affectée est antérieure à 4.4, nous ne développons généralement pas de patch nous-mêmes », a répondu Google à un spécialiste de la sécurité qui a signalé une vulnérabilité dans la WebView d'Android 4.3 et antérieur.

Crédit Uncalno Tekno CC BY

Tod Beardsley raconte sur son blog ce drôle d'échange avec l'équipe de sécurité du système. Celle-ci se dit prête à avertir les fabricants de la faille et accepte volontiers un correctif clé en main qui pourra ensuite être intégré à AOSP (la base libre d'Android). Mais elle ne travaillera aucunement sur un patch de son côté.

La position de l'éditeur est qu'il ne certifie plus les terminaux qui intègrent Android Browser, basé sur une WebView qui utilise le moteur de rendu WebKit, remplacé dans Android 4.4 par Blink. En somme, Google estime que la version 4.3 est trop vieille pour être encore supportée — elle est sortie en juillet 2013.

Le problème, c'est que Jelly Bean et les versions antérieures représentent la majorité des terminaux Android en circulation. 60,9 % des appareils qui se sont connectés à Google Play au début du mois étaient sous Android 4.3 ou précédent (lire : Lollipop déballé par moins de 0,1 % des utilisateurs Android). Autant de smartphones et de tablettes qui sont donc vulnérables.

Sans action de la part de Google, il faut espérer qu'une bonne âme mette au point un patch. Mais restera encore à le distribuer, ce qui prend un certain temps puisqu'il doit passer par les fabricants puis par les opérateurs. L'autre solution est de mettre à jour le terminal vers Android 4.4 ou 5.0... si le fabricant le propose. En dernier recours, on peut installer une ROM alternative qui s'attache à intégrer les dernières nouveautés du système.

Google s'attache à faire passer de plus en plus de composants dans Google Play Services, une brique logicielle indépendante du système bien plus facile à mettre à jour (plus de 90 % des utilisateurs ont la dernière version). C'est le cas de la WebView dans Android 5.0.

Pour aller plus loin :
avatar SkeletonGamer | 

C'est beau...

avatar bismarkiz | 

Ils signalent celle des autres en cours de correction et ne corrigent pas les leurs. G$$gle est en route: Après 10 ans de M$ ils reprennent le flambeau!

avatar gérard1 | 

Ha Ha Ha. c'est vrai qu'apple est connu pour sa grande générosité !! Ce sont de loin ceux qui se gavent le plus sur le dos des clients, avec des marges monstrueuses.

J'ai bien ri, c'est toi le comique de service ce soir ???

avatar Klouk | 

@gérard1 :
Apparemment c'est plutôt toi le bouseux

avatar feefee | 

@gérard1 :

"Ce sont de loin ceux qui se gavent le plus sur le dos des clients, avec des marges monstrueuses."

Le rapport avec la choucroute ?

avatar sachouba | 

@bismarkiz:

Ils signalent les failles des autres au bout de 90 jours, et procèdent ainsi pour tout le monde, afin de laisser aux développeurs le temps de corriger les failles.
Et le patch du problème de Webview s'appelle Android 4.4. Corrigé il y a un an.

avatar Ast2001 | 

Même si c'est aux constructeurs d'assurer la distribution du correctif, c'est de la responsabilité de Google de les forcer à le faire et certainement pas en répondant de cette façon.

avatar simnico971 | 

Irresponsable de la part de Google !

avatar youpla77 | 

Dire qu'il y a une faille c'est bien, dire si elle est très critique et facilement exploitable est encore mieux...

avatar adn95 | 

Raison de plus être sur iOS... Malgré sa soit pas tout rose

avatar raf30 | 

Je râle contre la pomme parfois mais au niveau du suivi des MAJ, entre IOS et Android, il n'y a pas photo...

avatar arekusandoro | 

C'est exactement pr Ca que je passe pas sur android...meme si il est impossible pr moi de pas avoir la dernière version de l'os ;) mais quand même...c'est abusé je trouve

avatar i-han | 

D'autant que les failles Apple sont assez sympa...

avatar keyzone | 

Si les constructeurs ne fort plus les mises à jour sur un terminal, ça sert a rien de développer un patch qui ne sera pas déployé !

avatar Hideyasu | 

Ouai enfin ca touche 60% des terminaux, c'est pas comme si on parlait de 4% c'est quand même grave. Sur ce il serait intéressant d'en savoir plus sur cette faille.

avatar Dreamoiseau | 

Ouais, Apple fait mieux en sécurité...

... Et si on parlait de la faille ntp présente dans Snow Leopard, toujours en vente sur le store, et qui ne sera jamais comblée par Apple ? Bah c'est pareil.

avatar JLG01 | 

Et dire que certain se sont scandalisés de la fin de maintenance de WXP ou des Verdon OSX vieille de plus de cinq ans.

avatar Dreamoiseau | 

A la différence que les développeurs indépendants peuvent patcher la faille. Alors que mettre à jour OSX ou windows, c'est une autre paire de manches.

CONNEXION UTILISATEUR