Voilà deux ans que Google met la pression sur les développeurs pour qu’ils corrigent les failles de sécurité qui polluent plus de 275 000 apps mobiles Android proposées sur sa boutique en ligne officielle. Dans de nombreux cas, la firme californienne a agité la menace de bloquer les futures mises à jour des apps peu sûres. Depuis 2014, dans le cadre de son programme ASI (App Security Improvement) visant à améliorer la sécurité sur Android, Google passe en revue les applications figurant sur Play, à la recherche des vulnérabilités connues. Lorsqu’il en trouve, il adresse une alerte à la personne qui a publié l’app, à la fois par e-mail et via la console développeur de sa boutique en ligne.

Au départ, le programme ASI recherchait seulement les identifiants AWS intégrés dans les apps, qui constituaient alors un problème courant. Si ces identifiants se trouvaient exposés, les serveurs cloud sollicités par les apps pour stocker les données et contenus des utilisateurs pouvaient en effet se retrouver sérieusement compromis. Par la suite, Google a recherché aussi les fichiers Keystore qui contiennent des clés de chiffrement, à la fois publiques et privées, permettant de chiffrer les données et les connexions sécurisées. Dans les premiers temps, les développeurs recevaient de simples notifications, sans aucune pression pour intervenir. Cela a changé en 2015 lorsque Google a étendu ses recherches à d'autres types de problèmes et commencé à fixer des délais pour les corriger.

Les utilisateurs du SDK Supersonic doivent mettre à jour d'ici le 26/01

La firme de Mountain View fournit de nombreux détails sur les failles détectées, ainsi que des directives sur la façon de les corriger. Les développeurs qui n’arrivent pas à résoudre les problèmes dans les temps impartis peuvent se voir empêcher de publier leurs mises à jour sur Play. En 2015, Google a contrôlé six vulnérabilités de plus, toutes assorties d’une date limite de correction. En 2016, il en a ajouté 17 dont 12 comportaient une date butoir pour les correctifs. Cela concerne des failles de sécurité trouvées dans des bibliothèques tierces, mais aussi dans des frameworks de développement et des SDK utilisés pour connecter les applications aux réseaux de publicité en ligne (advertising SDK), ainsi que des mises en œuvre dangereuses de classes Java et d’interfaces Android.

Par exemple, les développeurs qui ont utilisé le SDK Supersonic dans leurs applications ont jusqu’au 26 janvier 2017 pour le mettre à jour vers la version 6.3.5 ou ultérieure. Les versions plus anciennes exposent à travers JavaScript des fonctions sensibles qui peuvent être vulnérables à des attaques de type man-in-the-middle. Jusqu’en avril 2016, le programme ASI de Google Play a aidé les développeurs à corriger 100 000 applications. Depuis, ce nombre a presque triplé, près de 90 000 développeurs ayant corrigé des problèmes de sécurité dans plus de 275 000 apps, a indiqué la semaine dernière dans un billet Rahul Mishra, responsable du programme de sécurité Android.