Trous Android : le socle lui-même est douteux

Jusqu’à présent, les critiques tombaient drues sur l’échine des développeurs d’appliquettes pour périphériques mobiles : trous de sécurité, droits exorbitants, absence de respect des règles de codage les plus élémentaires… C’est injuste, déclarent cinq universitaires du département des Sciences informatiques de la South Carolina State University,) dans une étude d’une douzaine de pages. Les principaux fautifs sont les constructeurs de téléphones mobiles eux-mêmes, à commencer par LG, Samsung, HTC, Sony et Google. Près de 60 % des vulnérabilités comptabilisées sont des défauts « système » et non applicatifs. Pis encore, les applications « maison » et adaptations diverses intégrées par ces constructeurs bénéficient de privilèges d’exploitation trop élevés et injustifiés dans 85% des cas. Et les révélations ne s’arrêtent pas là. Si, statistiquement, le nombre de vulnérabilités a légèrement (très légèrement) diminué entre Android2.x et 4.x, la criticité des failles a augmenté. L’origine principale de ces trous de sécurité se trouve dans les « customisation », les adaptations propriétaires des éditeurs. Sur les modèles Sony testés, entre 65 à 85% des failles découvertes dépendaient « d’améliorations logicielles et add-on » du constructeur. Entrent dans cette catégorie « d’amélioration » des applications d’éditeurs tiers qui sont installées par défaut dans l’appareil mobile, applications qu’un usager ne saurait a priori mettre en doute. A ceci s’ajoute l’abandon assez rapide du support des anciens noyaux et anciennes plateformes pour d’évidentes raisons marketing et de course à la nouveauté. Ceci sans mentionner la complicité passive des opérateurs, tous pays confondus, qui refusent de « pousser » sur leur réseau les mises à jour et correctifs critiques.