Panique chez les fabricants ! Google, qui propose tous les mois des mises à jour de sécurité pour combler les failles sur Android, a sévèrement critiqué tous les fabricants qui ne corrigent pas assez vite les problèmes. Google a publié cette semaine son 4e bilan annuel des failles de sécurité inconnues des constructeurs qui sont exploitées dans la nature. En 2022, l’écart entre les correctifs d’Android a été particulièrement préoccupant.
« Ces écarts entre les fournisseurs en amont et les fabricants en aval permettent aux n-days (vulnérabilités connues du public) de fonctionner comme des 0-days (inconnues) parce qu’aucun correctif n’est immédiatement disponible pour l’utilisateur et que son seul moyen de défense est de cesser d’utiliser l’appareil. Bien que ces écarts existent dans la plupart des relations amont/aval, elles sont plus fréquentes et plus longues dans le cas d’Android », déplore Google.
Pour appuyer ses propos, Google met en avant le calendrier d’une faille qui a touché les GPU Mali d’ARM. :
Il a donc fallu presque un an pour que cela soit totalement corrigé ! Google estime que l’industrie « doit fournir rapidement des correctifs et des mesures d’atténuation aux utilisateurs afin qu’ils puissent se protéger ». Aussi, le groupe précise que 41 failles inconnues des constructeurs ont été découvertes en 2022, contre 69 en 2021. Cela représente une baisse de 41% et c’est positif pour la sécurité. Mais « la réalité est plus complexe », indique Google.