Par le biais de son projet Zero, qui débusque des failles de sécurité, Google joue les redresseurs de torts et s’est attiré le courroux de Microsoft en publiant les détails d’une faille de sécurité 48 heures avant que le géant de Redmond ne publie son correctif. Irréprochable Google, donc.
Et pourtant, la société de Sergey Brin et Larry Page a pris une décision qui va exposer environ 930 millions d’utilisateurs ou en tout cas de téléphones sous Android. Google a en effet choisi de ne pas corriger une faille dans WebView – un composant essentiel de l’OS qui permet d’afficher des pages Web et a été remplacé dans KitKat (Android 4.4) par une version plus récente basée sur Chromium. L’équipe chargée de la sécurité d’Android au sein de Google déclarait ainsi : « Si la version affectée de WebView est antérieure à 4.4, nous ne développons généralement pas les correctifs nous-mêmes, mais accueillons avec bienveillance les patches qui accompagnent un rapport de bug. A part prévenir nos partenaires OEM, nous ne ferons rien si on nous rapporte un problème affectant une version antérieure à 4.4 sans qu’un patch soit fourni avec l’annonce de la faille ».
Pas de souci, tant qu’il n’y a pas de faille, donc. Mais justement, voilà le hic, des chercheurs en sécurité en ont découvert par moins de onze récemment. Onze « exploits » et autant de portes ouvertes éventuelles à des attaques.
Si la position semble difficilement tenable, il y a derrière cet abandon une volonté forte de Google de pousser les utilisateurs et aussi les fabricants à adopter et à proposer des versions plus récentes d’Android.
Jelly Bean est trop vieux, avec ses deux versions de retard. Pour autant, la réalité du marché est différente. Annoncé en juin 2012, Jelly Bean (Android 4.1 à 3) représente à lui seul 46% des périphériques sous Android et les versions antérieures 14,9% supplémentaires. KitKat (4.4) compte pour 39,1% des appareils Android et Lollipop pour moins de 0,1%.
En se désengageant de son devoir de mises à jour, Google veut réduire la fragmentation de son écosystème mais met par la même en danger un nombre colossal d’utilisateurs. Tant pis pour ceux qui n’ont pas les moyens ou ne souhaite pas acheter un nouveau smartphone.
A lire aussi :
Lollipop est installé sur moins de 0,1% des smartphones sous Android – 12/01/2015
Source :
Rapid7 via Threatpost
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.