Vault 7 : Google a patché les vulnérabilités mais qu'en est-il pour les anciens smartphones ?

Le par  |  6 commentaire(s) Source : Wall Street Journal
logo-android

Wikileaks a dévoilé dans des documents l'existence de multiples failles utilisées par les services de renseignement pour s'introduire dans les appareils Android et iOS. Apple et Google annoncent déjà que la plupart des failles sont déjà patchées mais les mises à jour de sécurité vont-elles vraiment jusqu'aux appareils concernés ?

Avec Vault 7, Wikileaks a jeté un pavé dans la mare en révélant les nombreuses failles utilisées par les services de renseignement américains pour s'introduire dans les appareils Android et iOS.

Pendant que la CIA s'agace de voir ses secrets révélés, Google comme Apple minimisent le danger en affirmant que la plupart des vulnérabilités listées sont déjà corrigées ou en passe de l'être.

Android sécuritéEt de fait, si les correctifs sont apportés, combien de smartphones en bénéficient-ils réellement ? Apple, avec sa plate-forme iOS très contrôlée et son petit nombre d'appareils mobiles différents concernés, peut assurer une diffusion des correctifs large grâce à une présence d'iOS 10, la dernière version, sur plus des trois quarts des appareils.

Dans le cas de Google, la situation est différente car dépendante aussi du bon vouloir des opérateurs et des fabricants de smartphones. Le rythme de diffusion des dernières versions de l'OS mobile Android, mieux protégées, se fait plus lentement, et même très lentement pour les toutes dernières évolutions.

Android 7.x n'est par exemple présent que sur moins de 3% des appareils suivis par Google via leur connexion au portail Google Play Store (0,4% seulement pour la toute dernière version Android 7.1) alors qu'Android Nougat a été lancé en octobre 2016, laissant sur le marché une majorité d'appareils sous Android 6.0 Marshmallow, Android 5.x Lollipop et Android 4.x KitKat.

Si des correctifs sont apportés aussi aux versions plus anciennes (et comportant moins de couches de sécurité), il faut encore que ces mises à jour parviennent jusqu'aux appareils, ce qui relève parfois d'un parcours du combattant, entre certification à apporter pour s'assurer de l'absence d'interférences avec les réseaux et services des opérateurs et décisions des fabricants de ne plus supporter les appareils anciens pour des raisons de logique financière.

L'émergence d'une gamme Nexus, et désormais Pixel, chez Google est aussi une façon de répondre à cette problématique en permettant des mises à jour rapides. Il est à noter que plusieurs fabricants de smartphones se sont aussi engagés à diffuser aussi rapidement que possible que les correctifs de sécurité mensuels sur leurs appareils, au point d'en faire aussi un argument marketing vantant une meilleure sécurisation que la concurrence.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1956047
La bonne fragmentation toujours là pour aider la NSA et la CIA dans leur travail
Le #1956049
"décisions des fabricants de ne plus supporter les appareils anciens pour des raisons de logique financière"

Dans ce cas on ne vend pas de produit si on est pas capable de faire des mises à jours... Ce serait vendre une viande périmé a un client.

J'en fous un peu car j'utilises une méthode (fourni par f0sciety), qui me permet d'avoir la dernière update d'Android, créer par une communauté expertes en la matière (merci à la communauté...), ce qui me fait surtout chier, c'est pour les plus novices, ils paient un produit qui est censé aussi de protéger leurs vie privés, les anti-virus ne patchent rien du tout, les fabricants avec tout ce qu'ils gagnent devraient allonger la garantie + sécurité du produit.

On a bien vu avec Samsung qui a quand même eu les couilles de retirer la N7 du marché, et de mettre l'ancien modèle à jour... Si la N7 n'aurait pas eu de problème... la N5 n'aurait pas eu de mise à jour. Franchement...
Et en plus la majorité des produits Samsung récent, sont sous 7.0 ou 6.0.1...
Je ne cible pas que Samsung. LG, Huawei, SONY etc... sont dans le même sac.
Le #1956062
Safirion a écrit :

La bonne fragmentation toujours là pour aider la NSA et la CIA dans leur travail


ça a fait ma journée.

J'ai étudié la partie Android des Wikileaks. Beaucoup de documents vides.
Sur le document le plus étoffé, j'ai essayé la méthodologie de reverse tethering USB (c-a-d la capacité d'utiliser le réseau d'un PC, par USB, et en sens contraire par rapport au partage de connexion USB qui permet à un PC d'accéder au réseau mobile). Mais la résolution de noms DNS ne fonctionne pas. incomplet.
source: https://wikileaks.com/ciav7p1/cms/page_13762950.html

Je ne regarde peut-être pas au bon endroit, mais je n'ai rien trouvé de réellement exploitable ni pour android, ni pour les autres systèmes.
Le #1956157
pas près d'être jour sur mon HTC Hero et son Android 2.3 ! D'un autre coté, vu qu'il n'est plus compatible avec grand chose, je ne le connecte même plus à internet...
Anonyme
Le #1956179

(0,4% seulement pour la toute dernière version Android 7.1)



Pour la toute denière "révision" d'Android 7.1 !

Par exemple la dernière révision d'Android 7.1.1 est la 7.1.1_r28 sous AOSP !
Celle sur laquelle je suis actuellement avec Validus OS(AOSP-CAF) sans GAPPS et Google Services.

Patché depuis le 8 Mars sur les correctifs de sécurité Android du 5 mars 2017, soit 3 jours après la tombé du bulletin mensuel, alors bon moi la fragmentation...

Puis bon il existe toujours Apple pour ceux qui détestent tant Android et sa fragmentation.

Comme le dit si bien @iFlo59, osef pour nous, ça ne nous atteint pas ce genre de problème.
Le #1956283
fs0ciety a écrit :


(0,4% seulement pour la toute dernière version Android 7.1)



Pour la toute denière "révision" d'Android 7.1 !

Par exemple la dernière révision d'Android 7.1.1 est la 7.1.1_r28 sous AOSP !
Celle sur laquelle je suis actuellement avec Validus OS(AOSP-CAF) sans GAPPS et Google Services.

Patché depuis le 8 Mars sur les correctifs de sécurité Android du 5 mars 2017, soit 3 jours après la tombé du bulletin mensuel, alors bon moi la fragmentation...

Puis bon il existe toujours Apple pour ceux qui détestent tant Android et sa fragmentation.

Comme le dit si bien @iFlo59, osef pour nous, ça ne nous atteint pas ce genre de problème.


C'est intéressant, et je suis intéressé par tes conseils car je vais pouvoir bientôt rooter un smartphone pro en toute impunité.
Mais il faut bien admettre que le gros problème sur Android est que le patch de sécurité ne peut être appliqué sans relivraison de toute une rom, et avec l'aval du fabriquant et/ou le fournisseur d'accès.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]