Security Research Labs GmbH vient de publier une étude dénonçant les tricheurs parmi les constructeurs. Sur le banc des accusés, figurent de grands noms, comme des plus petits.

De nombreux constructeurs de smartphones Android ont été attrapés en flagrant délit de mensonge concernant le déploiement des mises à jours de sécurité Android proposées par Google sur leurs smartphones. Rappelons que ce comportement met expose largement les clients aux cyberattaques en tout genre…

En résumé, votre smartphone pourrait être bien moins sécurisé que vous le croyez ! Et ce, même s’il est à jour (ce qui n’est déjà pas évident il faut l’avouer). C’est ce qu’à pointer du doigt les chercheurs allemands de l’entreprise Security Research Labs GmbH. Ces derniers ont levé le voile sur des pratiques mensongères de la part de multiples constructeurs, dont certains parmi les plus importants), visant à tromper les utilisateurs sur la nature des patchs appliqués lors des mises à jour de sécurité Android.

Si vous êtes sous Andoird, vous savez peut être que le processus de déploiement de mises à jour de sécurité par Google a été modifié pour être plus efficace : chaque mois, Google publie les correctifs pour patcher les différentes failles de sécurité découvertes et les constructeurs sont censés les déployer via des petites mises à jour spécifiques, totalement séparées des mises à jour dites “majeures” (versions d’Android).

Or, si certains constructeurs comme Google ou BlackBerry respectent à la lettre ces procédures de sécurité, d’autres constructeurs ne s’embarrassent visiblement pas de cela ! C’est ce qu’expliquent Karsten Nohl et Jakob Lell, les deux chercheurs de la firme responsable de cette découverte, en rapportant que certains constructeurs clament être à jour avec les derniers patchs disponibles alors qu’en réalité seulement une partie des correctifs disponibles ont été installés et appliqués sur l’appareil. Dans certains cas, il ne manquait que 1 ou 2 correctifs sur le lot alors que dans d’autres c’est plus d’une dizaine qui n’avaient pas été appliqués. Et dans au moins un cas, un constructeur a purement et simplement affirmé qu’il avait déployé une nouvelle version des patchs alors qu’en réalité aucun des correctifs qu’il contenait n’avait été installé.

On veut des noms !

Pas de problème, les coupables sont connus ! En l’occurrence, il s’agit notamment des géants Samsung, Motorola et HTC, Xiaomi, OnePlus et Nokia, ou encore Huawei, LG, TCL et ZTE.

Le classement des constructeurs les mieux notés dans l’étude est le suivant :

Google, Sony, Samsung et Wiko (aucun oubli de correctif à 1 oubli) Xiaomi, OnePlus et Nokia (entre 1 et 3 oublis) HTC, Huawei, LG et Motorola (entre 3 et 4 oublis) TCL et ZTE (plus de 4 oublis)

On apprend donc surtout que ces pratiques ne sont pas contrôlées et que l’écosystème Android pose encore son lot de problèmes habituel. Les risques restent limités sachant que le principal risque provient des malwares potentiellement embarqués dans des applications légitimes au sein même du Play Store. Les risques d’attaque “directe” est bien moindre.