Stagefright corrigé : bientôt un patch mensuel de sécurité pour Android

Google a corrigé la vulnérabilité dans la librairie Stagefright et souhaite, avec Samsung et LG, pousser des mises à jour régulières. Mais diversité des acteurs et fragmentation d'Android posent problème.

Google a corrigé la vulnérabilité d’Android qui avait été découverte dans Stagefright, une librairie clé du système d’exploitation.

D’après les chercheurs de Zimperium, cette vulnérabilité touche 95 % des terminaux sous Android et permet d’exécuter du code à distance, via un fichier multimédia spécifiquement élaboré et transmis via MMS, et ce sans que le contenu multimédia ne soit nécessairement ouvert.

Les équipes de Zimperium avait déjà averti Google et proposé des correctifs. Mais un doute subsistait sur la vitesse à laquelle une mise à jour avec le correctif allait être distribuée. Un problème qui dépasse le seul Google puisque les constructeurs ont également leur part de responsabilité dans ce processus.

Une mise à jour distribuée aux constructeurs

La réponse est donc venue aujourd’hui, sous plusieurs formes. Les ingénieurs de Google ont modifié l’application MMS pour contrer l’infection automatique des terminaux. Il faut à présent volontairement cliquer sur un MMS pour qu’une vidéo soit jouée.

Android

La mise à jour a déjà commencé à être distribuée sur ses terminaux maisons de la gamme Nexus. Plusieurs constructeurs, dont Samsung, ont également reçu le correctif.

Ne reste plus qu’à espérer qu’ils les relaient à leur tour. Et c’est là que Stagefright à peut-être eu du bon pour l’écosystème Android. A partir d’aujourd’hui, Samsung, LG et Google vont en effet pousser des mises à jour mensuelles de sécurité. Ces annonces ont été faites dans le cadre du Black Hat.

Des patchs mensuels pas encore effectifs

Une bonne nouvelle donc, sauf que comme le souligne Samsung, les opérateurs sont également de la partie et doivent – eux-aussi – valider ce nouveau processus.

Pour mémoire, Samsung est le plus gros vendeur de terminaux Android et LG le 6ème vendeur de smartphones dans le monde. On attend donc de voir si les autres constructeurs - comme Huawei, Sony ou HTC – leur emboiteront le pas.

Ces patchs mensuels font évidemment penser au « Tuesday Patch » de Windows. Et pour cause, celui-ci avait été introduit par Microsoft en 2003 pour exactement les mêmes raisons : répondre plus rapidement aux attaques qui se multipliaient contre son OS.

La tâche ne sera en tout cas pas facile, car à la différence de Windows (ou de iOS), la mise à jour n’est pas distribuable directement par l’éditeur. La start-up britannique OpenSignal compte pas moins de 24.000 appareils Android différents conçus par 1.294 constructeurs. Difficile d’imaginer

Plus préoccupant, Android est toujours  aussi fragmenté. Selon les données de Google, c’est encore Android 4.4 qui est le plus répandu et non Lollipop (Android 5.0 et 5.1). Et ce sont encore 9 versions différentes d’Android que l’on retrouve dans le parc mondial de smartphones.

Un vrai casse-tête lorsqu’il s’agit de pousser des correctifs.

Une autre faille qui peut rendre les terminaux végétatifs devrait également être corrigée dans les jours qui viennent.

Pour approfondir sur Mobilité