Ouvrir le menu principal

iGeneration

Recherche

Google ne peut plus corriger les vulnérabilités des versions d'Android les plus populaires

Florian Innocente

lundi 26 janvier 2015 à 10:30 • 74

Android

Google a expliqué pourquoi il n'y aurait pas de correctif pour la dernière faille de sécurité (en date) recensée dans le moteur de rendu de pages web d'Android 4.3 ou antérieures.

C'est à l'intérieur de WebView qu'est logée cette faille (mais elle n'est pas la seule). Ce composant système permet l'affichage des pages web et l'exécution de code JavaScript. Depuis Android 4.4 KitKat, WebView a changé de cheval, sautant du moteur WebKit qu'utilise Apple à Blink mis au point par Google et régulièrement mis à jour. WebView, à l'origine, est utilisé dans Android Browser, le navigateur de base fourni avec l'OS. WebView peut aussi servir à des éditeurs tiers dont les applications ont besoin d'afficher des contenus web ou des publicités.

Sur son blog, Tod Beardsley s'alarmait il y a quelques jours de la véritable boite à outils offerte par ces failles de sécurité à des malandrins qui souhaiteraient par exemple détourner des utilisateurs vers des sites fallacieux et récupérer des données privées. Il s'étonne encore que Google soit prêt à corriger une faille dans le composant AudioPlayer de ces anciens Android mais pas à refermer dans WebView une des plus belles portes d'entrées pour les amateurs de vulnérabilités.

Membre de l'équipe sécurité d'Android, Adrian Ludwig est revenu sur le sujet pour expliquer la position de son employeur. Comme indiqué précédemment, Google n'apportera aucun correctif à WebView dans ces anciennes versions d'Android (Jelly Bean n'est pas si vieux, sorti mi-2012 sa dernière révision date d'octobre 2013).

Google, explique-t-il, n'a plus les moyens de mettre à jour un composant aussi complexe et qui, de par sa nature open source, est en constante évolution. Cet effort a été encore fait récemment mais ce n'est plus tenable :

À lui seul, WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles modifications chaque mois, de sorte que, dans certains cas, appliquer des correctifs de vulnérabilité sur une branche de WebKit vieille de 2 ans et plus impose des changements sur des volumes de code importants et ce n'était plus gérable de le faire de manière fiable. Avec les progrès d'Android 4.4, le nombre d'utilisateurs qui sont susceptibles d'être affectés par des problèmes de sécurité hérités de WebKit diminue chaque jour, alors que de plus en plus les gens se mettent à jour ou achètent un nouveau terminal.

Mécaniquement, il est vrai que la part de risques va aller décroissante, mais il y a encore de la marge. En se basant sur les statistiques de Google, les 4 version d'OS concernées - Froyo, Gingerbread, Ice Cream Sandwich et Jelly Bean - pèsent encore pour 60,9% des connexions faites sur Google Play. Dans le lot évidemment certains utilisent probablement Chrome plutôt qu'Android Browser. Restent les apps tierces.

Les solutions répétées par Adrian Ludwig sont multiples. Pour s'affranchir des risques posés par les failles, les utilisateurs peuvent passer à KitKat (encore faut-il que cela soit possible pour leur terminal…). Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit. Chrome marche à partir d'Android 4.0 et Firefox fait mieux encore en remontant jusqu'à Android 2.3 (Opera utilise aussi Blink). Sans oublier que Chrome figure en bonne place et par défaut sur de multiples téléphones de grandes marques.

D'autres solutions sont proposées aux développeurs qui utilisent l'ancien WebView, comme de suivre les recommandations de Google en termes de sécurité pour éviter le chargement de sites litigieux ou, carrément, d'intégrer leur propre moteur. C'est vers ce type d'applications "sûres" que les utilisateurs doivent aller, en les choisissant sur Google Play.

Adrian Ludwig insiste sur le fait que Google ne se contente pas de mettre à jour l'OS du moment, mais qu'il tient à jour les deux dernières versions en date.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Easter Egg : quand Apple cache des petites blagues dans ses produits

16/02/2025 à 11:52

• 15


Avec visionOS 2.4, le Vision Pro devrait s'ouvrir à Apple Intelligence

16/02/2025 à 09:02

• 18


DockKit, la technologie Apple dont vous ignorez probablement l'existence, s'améliore encore

15/02/2025 à 11:00

• 12


La refonte de Siri dans Apple Intelligence pourrait être retardée

15/02/2025 à 08:57

• 78


Synology présente des caméras qui se passent de NAS

15/02/2025 à 07:30

• 9


Finalement non, Netflix ne s’intégrera pas à l’app TV d’Apple

14/02/2025 à 22:00

• 43


iPhone SE 4 : les chiffres de vente devraient cartonner, selon Ming Chi-Kuo

14/02/2025 à 20:00

• 52


Europe : l'App Store s'approche d'une moyenne mensuelle de 150 millions d'utilisateurs

14/02/2025 à 18:30

• 3


Izneo, Lizzie : Canal+ va se séparer de deux services supplémentaires

14/02/2025 à 17:15

• 36


WhatsApp donne des couleurs à ses conversations

14/02/2025 à 15:15

• 16


Apple Intelligence : Alibaba aurait développé une surcouche dédiée à la censure

14/02/2025 à 14:00

• 29


Le mystère s'épaissit sur le dos des iPhone 17 Pro

14/02/2025 à 13:30

• 28


Promo : l’iPhone 16 Pro 1 To à 1 679 € (-10 %)

14/02/2025 à 12:31

• 11


Amazon améliore l'interface et la navigation de Prime Video sur l'Apple TV

14/02/2025 à 11:00

• 9


Écoutes de Siri : la Ligue des droits de l’homme porte plainte contre Apple

14/02/2025 à 10:25

• 117


Hue veut simplifier la connexion des appareils à son bridge avec un code QR unique

14/02/2025 à 08:45

• 5