Sécurité Android : Motorola ne suit pas Google sur les correctifs mensuels
Motorola n’a pas l’intention de suivre le rythme mensuel adopté par Google pour diffuser des correctifs de sécurité sur les terminaux Android. Pourquoi ?
Le modèle adopté par Google pour diffuser des correctifs de sécurité sur Android ne plaît pas à tout le monde.
Du côté de Motorola, on ne s’alignera pas sur le système qui consiste, depuis août 2015, à publier un bulletin mensuel, à la manière de Microsoft avec le Patch Tuesday.
Le groupe américain, filiale de Lenovo, estime qu’avec tous les tests nécessaires, il est trop difficile de suivre ce rythme sur un catalogue de terminaux aussi important que le sien. Et qu’il est plus efficace de publier de « gros updates », sous la forme de mises à niveau de maintenance ou de nouvelles versions du système d’exploitation.
C’est ce qui ressort d’une déclaration adressée à Ars Technica.
Le site spécialisé avait pris la température à l’occasion d’un événement presse organisé pour le lancement du Moto Z. Par la suite, Motorola avait mis de l’eau dans son vin en expliquant que le smartphone allait, au même titre que sa déclinaison Moto Z Force, bénéficier de mises à jour de sécurité… sans pour autant assurer qu’elles seraient distribuées à fréquence mensuelle.
Accueil mitigé
La dernière édition du « Nexus Security Bulletin » corrige environ 70 failles, dont une douzaine regroupées au sein de 7 correctifs considérés comme « critiques ».
La mise à jour est diffusée en OTA aux possesseurs de terminaux Nexus, qui peuvent aussi installer les images système mises à leur disposition. Pour les autres, cela dépend de la réactivité des constructeurs et des opérateurs.
Samsung fait partie des fabricants hardware qui se sont engagés à « implémenter au mieux cette initiative », lancée à la suite de l’épisode Stagefright, du nom de cette vulnérabilité qui a potentiellement exposé jusqu’à 95 % des smartphones Android à une attaque par le biais d’un simple MMS contenant une vidéo piégée.
Parmi les autres mesures prises par Google pour protéger son OS mobile, on relèvera le programme Vulnerability Rewards, auquel plus de 210 000 dollars ont été consacrés en 2015, pour rémunérer les chercheurs qui avaient déniché près d’une centaine de failles, dont 30 critiques.
Les relations avec les développeurs ont évolué en parallèle : ces derniers ne peuvent plus, entre autres, pousser de mises à jour de leurs applications sur le Play Store tant qu’ils n’ont pas corrigé les failles qui leur ont été signalées depuis plus de 90 jours.
Google exploite aussi le machine learning pour effectuer des analyses plus rapides et plus précises des menaces, avérées ou potentielles. À fin 2015, la capacité d’examen était de 35 millions d’APK par jour.
Crédit photo : Pavel Ignatov – Shutterstock.com