26

Que sont les mises à jour de sécurité Android, et pourquoi sont-elles importantes ?

Vous avez peut-être remarqué que de temps en temps, votre smartphone Android vous invite à télécharger et installer une nouvelle version de son firmware. Peut-être la première fois que c’est arrivé, vous pensiez recevoir une mise à jour de la dernière version d’Android, ou peut-être que de nouvelles fonctionnalités intéressantes avaient été ajoutées. Mais finalement, il s’est avéré que c’était une mise à jour de sécurité Android « ennuyeuse » ! Bien que les mises à jour de sécurité Android soient en effet ennuyeuses, elles sont très importantes.

Jetons un coup d’oeil à ces correctifs de sécurité, et à la sécurité Android en général, pour voir ce qui se passe !

Que sont les mises à jour de sécurité Android ?

On a souvent dit que « l’erreur est humaine » et si, comme le dit Alexandre Pope, « pardonner est divin », vous trouverez que les ordinateurs et les hackers et pas très indulgents ! Chaque fois qu’un logiciel est écrit, il contient intrinsèquement des erreurs ou des bogues, comme les développeurs aiment à les appeler. Essayer de réduire le nombre de ces bogues est l’un des principaux objectifs des ingénieurs logiciels. Tout d’abord, en essayant d’attraper les bogues au moment où le logiciel est écrit. Deuxièmement, en corrigeant les bogues une fois qu’ils ont été trouvés.

Il y a deux types de bogues. Tout d’abord, les bogues qui provoquent un comportement incorrect du logiciel. Disons que vous tapez « 001.300 * 02.7000 » dans l’application de la calculatrice et qu’il vous donne la réponse de 2.51. Clairement, quelque chose ne va pas, peut-être que ces zéros supplémentaires ont causé le logiciel à se comporter de manière inattendue ? Une fois le problème trouvé, le logiciel peut être corrigé et une mise à jour envoyée aux utilisateurs. Ces bogues sont généralement une nuisance et, s’ils sont assez graves, peuvent avoir un impact sur la réputation des ventes/marques, etc, mais ils ne sont généralement pas dangereux (mais plus à ce sujet dans un instant).

La deuxième catégorie de bogue est celle qui a un impact sur la sécurité du logiciel et de l’appareil sur lequel il est installé. Ainsi, à titre d’exemple simple, une application peut demander un nom d’utilisateur et un mot de passe. Il peut y avoir un bogue où si l’utilisateur entre le nom correct mais laisse le mot de passe vide, l’accès est accordé à l’utilisateur. Cela peut sembler stupide, mais c’est déjà arrivé. Maintenant il y a un bogue qui permet l’accès non autorisé aux données privées. La plupart des bogues de sécurité sont beaucoup plus compliqués et nuancés que cela. Mais essentiellement, une erreur dans le programme permet à une tierce partie d’obtenir l’accès qu’elle n’aurait pas dû avoir. Une fois que ces bogues sont trouvés, ils doivent être corrigés rapidement et déployés rapidement pour protéger les utilisateurs.

Parfois les bogues de la première catégorie, les bogues de comportement inattendus, peuvent être manipulés de telle sorte qu’ils deviennent des bogues de la deuxième catégorie.

Ainsi, une mise à jour de sécurité Android est un groupe cumulatif de corrections de bogues qui peuvent être envoyées par voie hertzienne aux appareils Android pour corriger les bogues liés à la sécurité.

Pourquoi les correctifs de sécurité sont-ils importants ?

Après l’installation d’un nouveau correctif de sécurité sur votre appareil, vous ne verrez absolument aucune différence dans ses fonctionnalités ! Il semble presque que la mise à jour n’a rien donné. Mais c’est, bien sûr, la nature des corrections de bogues de sécurité. Vous ne les remarquez pas parce qu’ils colmatent des trous, souvent très petits, dans la sécurité de l’appareil.

Par exemple, il peut y avoir une vulnérabilité où si vous recevez un message SMS en caractères mixtes coréens et russes d’une longueur exacte de 160 caractères, l’astucieuse élaboration du texte du message peut déclencher un bug qui peut à son tour être utilisé pour ouvrir un trou dans les défenses de votre appareil. Je ne reçois pas beaucoup de messages de ce genre, donc si le bogue était trouvé et corrigé, je n’en serais pas plus sage. Mais voici le truc : quand les hackers découvrent ces bugs ésotériques, ils créent des messages spéciaux et les envoient à des personnes ciblées dans le but d’avoir accès à leurs appareils. Ceux qui sont ciblés sont vulnérables aux machinations de ces cybercriminels. De votre côté, vous voyez un message SMS étrange, froncez les sourcils et effacez-le. Mais vous ne savez pas que votre téléphone a été compromis.

Après l’installation d’un nouveau correctif de sécurité sur votre appareil, vous ne verrez absolument aucune différence dans ses fonctionnalités !

Par conséquent, les correctifs de sécurité sont importants car ils protègent votre téléphone contre les pirates informatiques potentiels qui veulent accéder à votre appareil. Imaginez toutes les données qui se trouvent sur votre téléphone. Oubliez les photos et les messages WhatApps. Qu’en est-il des services bancaires ? Amazon shopping ? eBay ? Google Pay ? Il y a une longue liste de choses qui pourraient intéresser un hacker.

Quels téléphones reçoivent les mises à jour de sécurité ?


Théoriquement, tous les smartphones Android devraient bénéficier d’environ deux ans de mises à jour de sécurité. Cependant, la réalité est souvent très différente. Voici comment cela devrait fonctionner : Google corrige un bogue lié à la sécurité dans Android. Google affiche ces changements sur l’AOSP et/ou informe ses partenaires (chaque OEM qui a un appareil Android certifié Google). En fait, Google le fait sur une base mensuelle. Les fabricants de smartphones intègrent ensuite ces correctifs dans leur firmware et, si nécessaire, en remettent une copie aux opérateurs. Les transporteurs approuvent ensuite les correctifs et, finalement, le communiqué est envoyé aux appareils par voie hertzienne.

Cela fonctionne très bien sur les téléphones Google comme la gamme Pixel. Il fonctionne également bien sur les appareils Android One qui sont maintenus par Google. Il fonctionne également bien pour les grandes marques. Par exemple, le Samsung Galaxy Note 8 a été lancé en août 2017. J’en ai un et je peux confirmer qu’il a reçu des mises à jour régulières (presque mensuelles). En fait, il a également été mis à jour vers Android 9.0 Pie.

Mais, pour certaines marques de taille moyenne, les mises à jour peuvent être plus sporadiques, alors que pour les petites marques, elles sont souvent inexistantes ! Le manque de mises à jour de sécurité peut être un réel problème. Il semble que certains fabricants de smartphones ont une mentalité de « vendre et oublier ». Cela signifie qu’il y a des millions de téléphones Android actuels (moins de 2 ans) dans les mains des consommateurs qui ne reçoivent aucune mise à jour de sécurité, les laissant potentiellement exposés à toutes sortes d’attaques. D’un autre côté, Google sait que c’est un problème et veut le résoudre !

Meilleures pratiques de sécurité Android

Indépendamment de la fréquence à laquelle votre appareil reçoit des correctifs de sécurité, il est intéressant de noter les meilleures pratiques de sécurité Android suivantes :

  • Ne cliquez pas sur les liens dans les e-mails, WhatsApp, Facebook Messenger ou SMS à moins que vous ne soyez sûr de la source du lien et de l’endroit où il vous mènera.
  • Assurez-vous de garder vos applications à jour, y compris Chrome et les autres applications Google.
  • Utilisez des mots de passe uniques : N’utilisez pas le même mot de passe pour plusieurs comptes. C’est comme si vous utilisiez la même clé pour plusieurs maisons : cela augmente votre risque de sécurité. Si cela vous semble trop compliqué, utilisez un gestionnaire de mots de passe.
  • Protégez vos comptes grâce à la vérification en deux étapes : Même si votre nom d’utilisateur et votre mot de passe sont volés, la vérification en deux étapes est activée avec de l’aide pour empêcher les attaquants d’entrer.
  • Effectuez le contrôle de sécurité Google : Ceci est facile à faire (g.co/securitycheckup) et analyse l’état de sécurité de votre compte Google.

Qu’en est-il des vulnérabilités du jour zéro et des exploits du jour zéro ?

Il y a un aspect de la sécurité Android qui n’est pas couvert par les mises à jour mensuelles de sécurité. Vulnérabilités zéro-jour. Ce sont des bogues que Google ne connaît pas, mais que quelqu’un d’autre connaît. Ce sont des bogues de sécurité que Google n’a eu aucun jour pour essayer de corriger. Ce qui se passe ici, c’est que des sociétés dites de « recherche de sécurité », ou cybercriminels, essaient de trouver des bogues sur Android et une fois qu’ils ont découvert qu’ils ne le disent à personne. Ils deviennent un arsenal secret qui peut être utilisé à des fins néfastes.

Puisque cet arsenal est secret et difficile à acquérir, ces vulnérabilités du jour zéro sont hautement appréciées. Ils s’habituent de deux façons. Ils sont soit vendus à des entités qui ont beaucoup d’argent, comme les forces de sécurité d’un État-nation, soit utilisés directement par les cybercriminels dans une attaque massive pour tenter de frauder les gens avec de l’argent.

Dans les deux cas, ils peuvent être mortels, littéralement, comme nous l’avons vu récemment avec la mort de Jamal Khashoggi. Une fois que ces vulnérabilités du jour zéro commencent à être utilisées publiquement (dans la nature), il ne faut souvent pas longtemps avant que Google soit capable d’isoler le problème et d’émettre un correctif. Encore une fois, soulignez la nécessité de garder votre téléphone à jour avec les correctifs de sécurité mensuels.

Récapitulation

La sécurité, comme les sauvegardes, peut être ennuyeuse. Le problème avec les sauvegardes est que la plupart des gens n’y pensent qu’après avoir perdu toutes leurs données. De même, la plupart des gens ne pensent à la sécurité qu’après que leur compte de courriel a été piraté ou que des frais frauduleux ont été portés à leur compte bancaire en ligne.

Il y aura toujours un élément de risque, mais les mises à jour de sécurité Android fournissent un moyen de réduire ce risque tout en améliorant la stabilité et la fiabilité de votre appareil. En fin de compte, chaque fois que votre téléphone dit qu’il a une mise à jour, installez-la.