Discussion :

[Victor Alisson]

Un milliard d’appareils Android sont vulnérables aux attaques de pirates informatiques
car ne recevant plus de mise à jour de sécurité depuis un mois

Alerte de sécurité pour le système d’exploitation Android ! L’organisation britannique pour la protection des consommateurs Which? vient d’annoncer que plus d’un milliard d’appareils Android ne reçoivent plus de mise à jour de sécurité critique du fait de leur obsolescence. Plus précisément, cela concerne deux utilisateurs d’Android sur 5, soit environ 40 % d’appareils Android dans le monde. La principale raison évoquée réside dans le fait que Google n’offre plus de mises à jour de sécurité et de protection intégrée sur les anciennes versions d’Android. Les risques potentiels pour les utilisateurs concernés vont du vol de données personnelles jusqu’aux demandes de rançons, ainsi qu’à toutes sortes d’attaques du domaine financier.

Which? aurait même réalisé des tests en laboratoire pour pouvoir affirmer ces informations. L’organisation aurait donc acheté quelques smartphones (ce qui signifie que les produits en question sont toujours disponibles en vente dans les boutiques en ligne, comme chez Amazon Marketplace par exemple), dont des modèles de Motorola, Samsung, Sony, LG et Google. Il s’avère que les appareils qui fonctionnent avec une version antérieure à Android 8 ne reçoivent plus les mises à jour de sécurité, comme c’est le cas avec des smartphones relativement âgés. Which? cite en particulier quelques noms tels que les Samsung Galaxy S3 et S6, le Samsung Galaxy A5 (2017), les Sony Xperia S et Z2, le Motorola X, le Google Nexus 5. À l’exception du Samsung Galaxy A5, ces modèles ne peuvent plus accéder à Android 8 (Oreo).

Les tests de laboratoire (en collaboration avec AV Comparatives) ont montré que ces appareils ont pu être facilement infectés par notamment les deux malwares suivants (il semble d’ailleurs que les tests se sont limités à seulement quelques logiciels malveillants, ce qui signifie que ces smartphones peuvent être également infectés par d’autres malwares) :

• Stagefright : il s’agit d’un malware dont l’attaque peut être très dévastatrice, car le pirate est susceptible de prendre le contrôle total de l’appareil infecté, ce qui expose l’utilisateur à un vol des données et au verrouillage du téléphone pour une demande de rançon ;
• Joker : également dénommé Bread, c’est un logiciel malveillant qui existe depuis 2017, une sorte de cheval de Troie qui incite l’utilisateur à télécharger un autre malware destiné à faire majorer les factures de cet utilisateur via le téléphone désormais infecté ; mais, les pirates peuvent même aller jusqu’au vol des coordonnées stockées dans le téléphone dans le but de cibler d’autres utilisateurs. L’année dernière, Google a dû supprimer sur Play Store environ 1700 applications infectées par Joker.

En fait, toujours selon Which? Android Security Bulletin a confirmé qu’aucun correctif de sécurité n’a été émis spécifiquement pour les versions d’Android antérieures à 7.0 (Nougat). Cela dit, plus d’un milliard d’utilisateurs sont ainsi menacés, dont des millions d’appareils Android encore utilisés au Royaume-Uni, selon l’estimation de Which? Dorénavant, Google a refusé de s’exprimer sur le nombre potentiel des utilisateurs concernés par cette menace de sécurité. En tout cas, sur la base des données émises par Google en mai 2019, 42.1 % des utilisateurs actifs d’Android utilisent encore la version 6.0 (Marshmallow) ou antérieure. Le téléphone Sony Xperia Z2, toujours disponible en vente, fonctionne même avec Android 4.4.2 (KitKat).

En somme, plus l’appareil Android est âgé, plus le risque qu’il ne reçoive plus de mise à jour de sécurité est élevé. La préoccupation de l’organisation britannique de protection des consommateurs tourne alors autour de la durée de vie d’un smartphone Android : jusqu’à quand ce dernier pourrait bénéficier d’un support de sécurité viable. Cela invite également les utilisateurs à se demander s’il vaut vraiment la peine de garder en utilisation active leurs vieux téléphones. Enfin, il apparaît important pour les consommateurs, avant d’acheter un appareil Android, de s’informer sur la durée de prise en charge des versions d’Android par Google en termes de mise à jour de sécurité d’une part, et sur le rythme de déploiement des correctifs de sécurité qui peut varier suivant l’appareil (car le fabricant modifie généralement certains composants d’Android pour les adapter à l’appareil en question).

Source : Which?

Et vous ?

Est-ce que vous utilisez encore un de ces vieux téléphones Android ?

Que faire pour pouvoir continuer à les utiliser sans compromettre la sécurité des utilisateurs ?

Voir aussi :

Android : les fabricants désormais obligés de fournir des mises à jour de sécurité pendant 2 ans, suite à un accord conclu avec Google

Sécurité : Google corrige une faille critique qui permet l'installation de malwares via le sous-système Bluetooth d'Android sans intervention du possesseur du smartphone

Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux, plus de 200 fabricants d'appareils ont été mis à rude épreuve

La plupart des smartphones Android seraient vulnérables aux attaques opérées via des commandes AT en mode USB, d'après une nouvelle étude

Google interpelle Samsung à la suite de changements « inutiles » apportés dans le noyau d'Android et qui ont créé des failles sur le Samsung Galaxy A50

[eldran64]

Bon, le jour où on arrêtera de se foutre de la gueule des utilisateurs en vendant d'un côté du matos et de l'autre l'OS qui serait mis à jour pendant X année, on arrivera à de bons résultats.
En attendant, combien de personnes achètent des smartphones n'étant plus à mis à jour juste par ce que "c'est pas cher"?
Bref, peu de personne sont sensibilisées à la sécurité que ça soit sur PC ou sur d'autres machines connectées.

[herr_wann]

La vraie réponse serait d'infliger de lourdes sanctions aux entreprises qui fournissent des logiciels ou matériels truffés de failles critiques. La sécurité serait alors considérée comme importante voire vitale selon les équipements et les développements réalisés en conséquence au lieu de privilégier les nouveautés gadget à la demande du marketing.
Quand un défaut majeur est constaté sur une voiture, le constructeur doit rappeler tous les véhicules.

[Ryu2000]

La principale raison évoquée réside dans le fait que Google n’offre plus de mises à jour de sécurité et de protection intégrée sur les anciennes versions d’Android.

Effectivement les téléphones sous Android 2.3 n'ont pas reçus de mise à jour depuis longtemps. Mais c'est pareil partout, un jour Microsoft a arrêté les mises à jours pour Windows XP, il n'y a pas si longtemps c'était le tour de Windows 7.
Bon après c'est plus facile d'installer Windows 10 sur un PC qui avait Windows 7, que de changer de version d'Android une fois que le constructeur à arrêté de proposer des mises à jours. Il existe des solutions du genre CyanogenMod, mais ce n'est peut-être pas à la portée de tout le monde...

Il s’avère que les appareils qui fonctionnent avec une version antérieure à Android 8 ne reçoivent plus les mises à jour de sécurité, comme c’est le cas avec des smartphones relativement âgés.

Android 8 c'est Oreo d’août 2017. Du coup c'est vrai que 3 ans de mise à jour c'est peu.

L’organisation aurait donc acheté quelques smartphones (ce qui signifie que les produits en question sont toujours disponibles en vente dans les boutiques en ligne, comme chez Amazon Marketplace par exemple), dont des modèles de Motorola, Samsung, Sony, LG et Google. Il s’avère que les appareils qui fonctionnent avec une version antérieure à Android 8 ne reçoivent plus les mises à jour de sécurité, comme c’est le cas avec des smartphones relativement âgés.

Certains utilisent des anciens téléphones pour faire autre chose avec, par exemple mon Xperia Play est branché à ma chaîne hifi de salle de bain, il n'est pas connecté à internet donc il n'y a pas de problème.

====
Est-ce que quelqu'un connait la loi ?
Est-ce qu'il existe des textes qui contraignent ceux qui produisent des logiciels à les maintenir à jour pour corriger les failles pendant un certains temps ?

Edit :
Les mises à jour des smartphones soumises à une loi européenne?

Avec la mode des objets connectés il risque d'y avoir un paquet de faille, tout le monde veut un thermomètre pour aquarium connecté, mais vous risquez de vous faire pirater. C'est pareil avec les micro-onde connectés, les réfrigérateurs connectés, les tv connectés, les sex-toys connectés, les pèse personnes connectés, les sèches cheveux connectés, etc.