Deux chercheurs du spécialiste allemand de la cybersécurité Security Research Labs (SRL), affirment dans Wired que des vendeurs de smartphones Android omettent régulièrement d’installer des correctifs de sécurité.
Bien plus grave, ils mentiraient à leurs clients, en prétendant avoir installé les correctifs. Ce qui met en danger le client, et lui donne un sentiment trompeur de sécurité.
Karsten Nohl et Jakob Lell présenteront leur étude vendredi, dans le cadre de la conférence annuelle Hack in the Box, qui se tient du 9 au 13 avril 2018 à Amsterdam.
Ils ont testé les micrologiciels de 1 200 smartphones Android, pour vérifier l’installation ou non de chacun des correctifs de sécurité publiés en 2017.
En dehors des smartphones de la gamme Pixel de Google, aucun appareil n’a installé tous les correctifs disponibles, y compris des appareils haut de gamme de fabricants comme Samsung:
Certains vendeurs n’installent aucun correctif, et affichent une date de mise à jour fausse de plusieurs mois.
Dans la plupart des cas, concernant les grandes entreprises comme Samsung ou Sony, les chercheurs attribuent l’oubli de quelques correctifs à de l’étourderie. Toutefois, ils constatent que les résultats sont inconsistants, même chez le même fabricant.
Par exemple, le Samsung 2016 J3 affirme avoir installé tous les correctifs de 2017, alors qu’il en manque 12, dont deux critiques, pendant que le Samsung 2016 J5 indique correctement les correctifs qui sont installés et ceux qui manquent.
Pour aider l’utilisateur, SRL va mettre à jour son application SnoopSnitch, qui permet de vérifier quels correctifs de sécurité sont installés et lesquels sont manquant – mais uniquement sur les appareils compatibles.
Contacté, Google note que certain des appareils analysés ne sont pas certifiés Android.
Dans certains cas, des correctifs pourraient manquer parce que le fabricant aurait éliminé la fonctionnalité vulnérable – une possibilité rarissime d’après SRL.
Google ajoute que les smartphones Android modernes ont des fonctionnalités de sécurité qui les rendent difficiles à pirater, même avec des vulnérabilités de sécurités non corrigées. Un argument qui nous semble spécieux et dangereux, parce que partiellement faux.
Google termine en promettant de collaborer avec SRL pour enquêter plus en profondeur sur ses découvertes.
Malheureusement pour le consommateur, l’une des conclusions est que la sécurité d’un smartphone Android est assez proportionnelle à son prix. Et au fabricant du chipset principal, puisque certaines vulnérabilités de sécurités sont liées à des bogues dans les chipsets eux-mêmes:
