Si vous avez récemment acheté un téléphone Android, il est probable qu’il vous ait demandé d’installer une ou deux mises à jour de sécurité à un moment donné. Vous avez peut-être remarqué que ces mises à jour n’ajoutent généralement pas beaucoup de nouvelles fonctionnalités. Au lieu de cela, ils ont tendance à être assez petits, environ quelques centaines de mégaoctets. Notamment, ils sont également indépendants des mises à jour de version plus volumineuses (comme Android 12) qui apportent une multitude de nouvelles fonctionnalités.

Même si elles peuvent sembler sans incident, les mises à jour de sécurité sont évidemment assez importantes. Comme vous vous en doutez, exposer votre appareil personnel à des fuites de données potentielles et à des attaques malveillantes n’est pas idéal.

Donc, dans cet article, examinons rapidement quelles sont les mises à jour de sécurité, comment elles fonctionnent et quand vous devez vous attendre à ce que la prochaine arrive sur votre smartphone Android.

Que sont les mises à jour de sécurité Android ?

Le système d’exploitation principal d’Android, ou AOSP, est open source. Cela signifie que Google développe et maintient le projet, mais tout tiers peut également se porter volontaire pour auditer le code, soumettre des suggestions et le modifier pour son propre usage. C’est précisément la raison pour laquelle un téléphone Samsung exécute un logiciel très différent d’un appareil Xiaomi ou OnePlus. En un mot, les fabricants construisent leurs propres fonctionnalités sur la base fournie par Google.

Lire la suite: Qu’est-ce que l’AOSP ?

Pourquoi est-ce important ? Eh bien, de temps en temps, les chercheurs en sécurité découvrent de nouveaux bogues et vulnérabilités dans le système d’exploitation Android et soumettent un rapport de divulgation à Google. Une fois le problème identifié, Google développe un correctif et fusionne le code mis à jour avec le projet Android open source.

Comme son nom l’indique, les mises à jour de sécurité visent principalement à protéger votre smartphone des acteurs malveillants.

Cependant, il n’est pas exactement possible de déployer une nouvelle mise à jour logicielle pour chaque vulnérabilité. La plupart des bogues et failles de sécurité sont assez mineurs et n’affecteront probablement pas la grande majorité des individus immédiatement. De plus, les chercheurs ne font généralement pas connaître les exploits au public tant qu’un correctif n’est pas publié. C’est ce qu’on appelle la divulgation responsable.

À cette fin, plusieurs correctifs sont généralement regroupés dans un package plus grand qui atteint votre smartphone sous la forme d’une mise à jour de sécurité. Google informe à l’avance les fabricants d’appareils de ces correctifs imminents afin qu’ils puissent tous essayer de publier une mise à jour simultanément. En réalité, cependant, la plupart des utilisateurs d’Android ne reçoivent pas de mise à jour tous les mois, comme nous le verrons dans la section suivante.

Plusieurs correctifs sont généralement regroupés et inclus dans une seule version de mise à jour de sécurité Android chaque mois.

Outre le système d’exploitation Android de base, des exploits et des vulnérabilités peuvent également survenir dans plusieurs autres domaines. Prenez le chipset ou l’écran de votre smartphone, par exemple, qui a probablement été fabriqué par une société tierce comme Qualcomm, Mediatek ou Samsung.

Ces composants communiquent avec le système d’exploitation Android via un code propriétaire, où des exploits similaires peuvent être découverts au fil du temps. À cette fin, il est important qu’ils reçoivent également des correctifs de sécurité de routine de leurs fabricants respectifs.

Une fois les correctifs prêts, cependant, il appartient au fabricant (et au transporteur) de votre appareil de les livrer à votre appareil. Certains smartphones plus récents reçoivent des mises à jour mensuelles, tandis que d’autres peuvent ne recevoir un nouveau correctif que tous les trimestres environ. Dans le cadre de l’accord Google Mobile Services que la plupart des fabricants signent, cependant, ils doivent fournir des mises à jour de sécurité pour les deux premières années du cycle de vie de l’appareil, au moins.

Voir également: Qu’est-ce qu’Android d’origine ?

Comment décoder les correctifs de sécurité Android et ce qu’ils contiennent

De manière générale, Google publie deux « niveaux » de mises à jour de sécurité chaque mois : l’un qui se termine par 01 et l’autre par 05. Le premier inclut des correctifs pour tous les problèmes liés à l’AOSP, tandis que le niveau de correctif se terminant par 05 résout les problèmes associés au troisième -parties composants et code propriétaire. Chaque mois, Google publie également un bulletin de sécurité décrivant le contenu des vulnérabilités corrigées sur le site Web Android.

Prenez le bulletin de sécurité d’octobre 2021, qui contient des dizaines de correctifs. Chacun est étiqueté par un identifiant Common Vulnerabilities and Exposures (CVE) et catégorisé selon sa gravité. La page détaille également comment chaque vulnérabilité pourrait affecter les appareils Android. Par exemple, un RCE, ou exploit d’exécution de code à distance, pourrait permettre à un attaquant d’exécuter des commandes malveillantes sur l’appareil.

Bien que ces informations soient inestimables pour la transparence publique, la plupart des utilisateurs finaux n’ont pas besoin de connaître les détails. Et la plupart des appareils auront encore plus de vulnérabilités qui sont de nature spécifique à l’appareil ou au fabricant. En d’autres termes, vous ne connaîtrez pas les détails exacts de tous les correctifs inclus dans la mise à jour de sécurité d’un mois donné.

Les fabricants d’appareils incluent généralement des mises à jour pour leurs propres composants propriétaires dans leurs correctifs de sécurité.

Il convient de noter que la plupart des correctifs de sécurité n’incluent pas les mises à jour des fonctionnalités ou les modifications apportées à l’expérience utilisateur globale de l’appareil. Ceux-ci se présentent sous la forme de mises à jour logicielles régulières chaque année, comme le passage à Android 12., bien que la plupart des fabricants prennent plus de temps pour déployer les mises à jour de base sur leurs appareils. Cela dit, quelques fabricants intègrent de temps en temps des améliorations mineures de fonctionnalités et des corrections de bogues dans leurs mises à jour de sécurité.

Les équipementiers d’appareils tels que Samsung, Nokia et même Google développent tous eux-mêmes leurs propres versions des correctifs de sécurité mensuels. En effet, ils doivent soit inclure des correctifs pour des exploits supplémentaires spécifiques aux appareils, soit exclure certains correctifs qui n’affectent pas leurs appareils. Vous pouvez généralement trouver des notes de mise à jour sur les sites Web respectifs des fabricants, comme cette page pour Samsung.

Mises à jour de sécurité via le Play Store

Calvin Wankhede / Autorité Android

Les téléphones plus récents qui exécutent Android 10 ou une version ultérieure sont également capables d’obtenir des mises à jour de sécurité critiques via le Play Store. C’est grâce au projet Mainline, une initiative dirigée par Google qui a modularisé le système d’exploitation Android pour faciliter les mises à jour incrémentielles. Il permet essentiellement à certaines parties du système d’exploitation de recevoir des mises à jour via le Play Store, en plus des mises à jour complètes du micrologiciel du fabricant de l’appareil.

Google peut utiliser le Play Store comme canal de livraison pour les mises à jour de sécurité critiques, en contournant les fabricants d’appareils et les opérateurs.

Étant donné que les deux méthodes de livraison sont indépendantes l’une de l’autre, votre téléphone peut afficher deux dates de patch différentes. Les détails exacts se trouvent généralement sous Paramètres > À propos du téléphone > Version Android, comme illustré ci-dessus. L’idée d’avoir deux canaux de mise à jour est de permettre aux appareils plus anciens de continuer à recevoir des correctifs critiques via le Play Store. Cela deviendra particulièrement important si un exploit majeur comme Stagefright se reproduit.

Voir également: Un guide définitif du Google Play Store

À quelle fréquence devez-vous vous attendre à des correctifs de sécurité ?

Kaitlyn Cimino / Autorité Android

Pour en revenir aux mises à jour de sécurité régulières des fabricants Android, vous pouvez généralement vous attendre à les recevoir pendant quelques années, plus longtemps que les mises à jour de fonctionnalités. Prenez le Samsung Galaxy Note 8, par exemple. Il a reçu Android 9 – sa dernière mise à jour majeure des fonctionnalités – en février 2019, environ deux ans après la sortie du téléphone. Cependant, il a continué à recevoir des mises à jour de sécurité trimestrielles jusqu’à la mi-2021.

Le calendrier exact des mises à jour diffère d’une marque à l’autre. Même les appareils du même fabricant peuvent suivre des cycles de mise à jour différents.

À partir de la série Pixel 6, Google a promis de proposer des mises à jour de sécurité pendant cinq ans, soit deux ans de plus que l’engagement de trois ans pour les mises à jour de la version Android. Samsung, le plus grand OEM Android au monde, propose quatre ans de mises à jour de sécurité sur tous ses appareils sortis après 2019. D’autres marques, dont Xiaomi, Nokia et OnePlus, n’offrent pas le même niveau de cohérence dans leurs portefeuilles de produits. Cependant, la plupart d’entre eux promettent aujourd’hui au moins deux ans de mises à jour de sécurité.

Google et Samsung offrent actuellement la plus longue période de support logiciel. La plupart des autres fournisseurs mettent fin aux mises à jour de sécurité au bout de deux à trois ans.

En ce qui concerne la fréquence, les nouveaux appareils haut de gamme comme le Galaxy S21 de Samsung ont tendance à recevoir des correctifs relativement souvent, une ou deux par mois. Les appareils à l’opposé du spectre (lire: smartphones et tablettes bon marché) peuvent occuper une priorité inférieure sur le cycle de mise à jour du fabricant. Néanmoins, une mise à jour devrait arriver une fois tous les quelques mois environ.

Voir également: Quel fabricant met à jour ses téléphones le plus rapidement ?

Il est important de noter que ces délais ne sont que des promesses du fabricant et peuvent changer à tout moment. Au fil des ans, nous avons vu une poignée d’appareils atteindre leur date de fin de vie plus tôt que prévu. D’autres ont continué à recevoir des mises à jour de sécurité et de fonctionnalités pendant plusieurs années de plus que ce qui avait été promis à l’origine. Inutile de dire que si la sécurité de votre appareil est un facteur important pour vous, pensez aux marques qui ont de bons antécédents avec des mises à jour pour votre prochain achat de smartphone.

