Sécurité Android : du mieux sur les correctifs, mais une fragmentation persistante

Au cours des deux dernières années, les fabricants de mobiles Android ont amélioré leurs processus d’application des correctifs. En particulier, il se passe moins de temps entre la disponibilité les mises à jour de sécurité et leur intégration dans le firmware. C'est une bonne nouvelle pour l'écosystème Android, qui traîne depuis toujours par rapport à iOS d'Apple une réputation de pire OS mobile pour ce qui est de l’application des correctifs. Cependant, la fragmentation des versions reste importante dans cet écosystème. Les différences entre les constructeurs sont significatives et perdurent souvent entre les produits d'un même fournisseur. Au point qu’un grand nombre de mobiles tournent sur des versions qui ne sont plus supportées.

L’entreprise berlinoise Security Research Labs (SRLabs) a analysé le code d'environ 10 000 firmwares uniques qui font tourner les appareils Android de différents fabricants à partir de données collectées majoritairement avec son application SnoopSnitch. Utilisée pour détecter des anomalies pouvant révéler le tracking d’un utilisateur et de fausses stations de base, cette app peut également vérifier si, toujours à partir de l’analyse des données radios mobiles, si le firmware Android exécuté sur l’appareil a reçu les correctifs de vulnérabilité critiques disponibles pour la version en cours.

Quand, en 2015, Google a commencé à livrer des mises à jour mensuelles de sécurité pour Android, le fournisseur a ajouté une chaîne de date à la fonction « About phone » d'Android pour indiquer le niveau de correctif de l'appareil. Chaque avis de sécurité est accompagné de deux chaînes de correctifs : l’une couvrant les vulnérabilités dans le code standard et les composants de l’Open Source Android Project (AOSP), et l’autre couvrant les correctifs pour les composants spécifiques de l'appareil qui ne seraient pas open source, les pilotes des chipsets, par exemple. L’une ou l’autre chaîne sera modifiée selon que le constructeur choisit d’intégrer ou non des correctifs spécifiques au chipset ou uniquement des correctifs de l'AOSP.

Tests de correctifs pour Android

En 2018, SRLabs a cherché à savoir si les appareils Android avaient reçu tous les correctifs pour les vulnérabilités critiques correspondant à l’une ou l’autre chaîne de dates. L’analyse du code binaire sur laquelle est basé le test peut prendre quelques minutes. Tous les tests ont été développés par SRLabs et sont téléchargés par SnoopSnitch à partir d'un serveur en arrière-plan. Le test ne couvre que les vulnérabilités potentiellement utiles aux pirates pour compromettre les téléphones. Dans son premier rapport 2018, basé sur des données collectées en 2017, SRLabs a constaté qu’un grand nombre d’appareils n’avait pas reçu de correctifs, par rapport au niveau de correctif nécessaire identifié dans la chaîne de date. Le test a également montré que si certains fabricants faisaient mieux que d'autres, l’absence de correctif était souvent liée au chipset, laissant soupçonner un problème en amont de la chaîne d'approvisionnement.

Dans un récent rapport basé sur des scans effectués l’an dernier, SRLabs fait état de nettes améliorations. « En moyenne, par rapport à 2018, la moitié seulement des firmwares officiels publiés en 2019 n’ont pas reçu les correctifs nécessaires », a déclaré l’entreprise. Certains fournisseurs comme Google, LGE, Samsung, ZTE, Lenovo et Xiaomi ont laissé passer entre 0 et 0,2 correctif en moyenne sur l'ensemble de leur gamme de produits. D'autres comme Sony, Nokia, Huawei, Motorola, Asus et OnePlus sont en retard de 0,2 à 1 correctif en moyenne, tandis que Oppo et HTC en ont laissé passer entre 1 et 2. Aucun fournisseur n'a laissé passer plus de deux correctifs en moyenne, contre quatre et plus pour certains fournisseurs en 2017 et 2018. Le nombre de correctifs manquants peut sembler faible, mais il s'agit de chiffres moyens et les correctifs manquants concernent des vulnérabilités graves – le plus souvent, ce sont des vulnérabilités dont la gravité est élevée ou critique.

SRLabs s’est également intéressée à la rapidité avec laquelle les fournisseurs ont appliqué les correctifs et livré de nouvelles versions de firmwares après la publication des avis de sécurité mensuels d'Android et la divulgation publique des problèmes de sécurité. Il s’agit d’une évaluation importante, car, un mois avant la divulgation publique, Google partage les informations de vulnérabilité et les correctifs avec ses partenaires Android, si bien que les constructeurs disposent généralement d'au moins un mois pour préparer les mises à jour de leurs firmwares respectifs et effectuer leurs tests. Les données de SRLabs montrent que Google, Sony et Nokia sont les plus rapides à intégrer et à distribuer les mises à jour de sécurité. En fait, leurs délais de mise à jour sont inexistants : zéro jour. Huawei publie des correctifs avec un retard de six jours en moyenne, LGE avec 12 jours et Samsung avec 14 jours de retard. D'autres fabricants affichent des délais moyens de livraison des correctifs qui varient entre 15 et 31 jours (Xiaomi). Le délai moyen de livraison des patchs pour l'ensemble de l'écosystème Android a diminué de 15 %, passant de 44 à 38 jours.

La fragmentation des versions pourrait expliquer certaines différences entre les fabricants. Certains produisent beaucoup plus de modèles que d’autres et doivent assurer un support beaucoup plus conséquent. C’est le cas par exemple de Samsung, et beaucoup moins celui de Google. Certains fabricants doivent maintenir simultanément jusqu'à quatre versions majeures d'Android -- Android 7, 8, 9 et 10 -- utilisées sur leurs différents appareils. Les firmwares d’un grand nombre d'appareils toujours en circulation ne sont plus supportés et ne reçoivent plus aucune mise à jour de sécurité. Probablement, la durée moyenne du support des appareils Android est trop courte pour de nombreux utilisateurs. Heureusement, une communauté de firmwares open-source pour Android dans le genre de LineageOS pourrait permettre aux utilisateurs qui n'ont pas les moyens d'acheter un nouveau mobile de continuer à recevoir des mises à jour de sécurité en temps utile.

La sécurité Android pourrait séduire les entreprises

Selon Karsten Nohl, responsable scientifique de SRLabs, les entreprises ont toujours évité d’équiper leurs personnels en mobiles Android, leur préférant des appareils iOS, plus suivis en termes de correctifs. « Ces nouveaux résultats montrent que les choses s'améliorent dans l'écosystème Android et que certains fournisseurs Android sont au même niveau qu'Apple en matière de correctifs », a déclaré SRLabs. Les appareils Android ont l'avantage d'être moins chers, ce qui pourrait les rendre plus attractifs pour certaines entreprises. Ce dernier espère que les résultats de l'étude de SRLabs pourront aider ces entreprises à identifier les constructeurs de mobiles Android qui font un effort pour livrer les mises à jour de sécurité en temps voulu et, en même temps, s'assurer que ces correctifs sont à jour.

Pour les besoins de ses tests, SRLabs a été en contact avec les vendeurs de puces mobiles et avec un certain nombre de fabricants de mobiles Android. Mais l’entreprise a constaté que, même les vendeurs n’ayant pas pris contact avec elle utilisent son outil pour effectuer des tests en interne. Plusieurs raisons expliquent cette amélioration dans les processus d’application des correctifs, selon Karsten Nohl : d’abord, la pression exercée par Google sur les fournisseurs d'appareils ; ensuite, les fournisseurs utilisent des firmwares moins personnalisés, les nouvelles versions d'Android leur permettant de conserver plus facilement leurs personnalisations dans des composants séparés ; enfin, ils acquièrent plus d'expérience et rationalisent leurs processus. En général, les fabricants qui intègrent le plus rapidement les correctifs sont ceux qui vendent et doivent supporter moins de modèles.

Contrairement à la croyance populaire, les appareils récents exécutant la dernière version d'Android ne sont pas forcément les premiers à recevoir des correctifs dès leur disponibilité, pour une raison simple : comme il y a moins de récents modèles en circulation que d’anciens modèles, ils sont moins prioritaires. « Les constructeurs dont les appareils exécutent des versions plus courantes d'Android s’en sortent mieux », a encore déclaré SRLabs dans son rapport. « Les constructeurs dont les appareils exécutent des versions moins courantes d'Android ont besoin de plus de temps pour livrer les mises à jour de sécurité. Pour cette raison, la nature fragmentée de l'écosystème Android pose toujours un défi de sécurité ».