Nouveau rebondissement dans l’affaire Huawei/Google. Le gouvernement américain vient d’annoncer un délai de 90 jours de suspension avant la mise en application de la suppression de la licence Google pour le groupe chinois. Coup de pression ou preuve de clémence ?
Les analystes du monde économique et les divers observateurs des stratégies commerciales internationales ne savent plus où donner de la tête. Hier, nous vous annoncions une nouvelle qui a fait trembler la toile toute entière, et avec elle bon nombre d’usagers de smartphones Huawei. La firme chinoise surpuissante venait de voir sa licence Android supprimée par Google. L’évènement faisait directement suite à la mise en place d’une liste noire des entreprises avec lesquelles ne pas travailler, par le gouvernement américain. On devine Huawei bien placée sur la liste en question ! Or cela devait avoir l’ampleur d’un pur désastre pour Huawei, puisque ses smartphones fonctionnent tous sous Android, et quoiqu’ils n’en vendent pas sur le territoire des Etats-Unis, ses autres marchés tels que l’Europe, l’Afrique ou l’Asie allaient être impactés profondément.
L’entreprise chinoise vend en effet plusieurs millions de smartphones par an, est même passée devant Apple. Autant dire un véritable coup de tonnerre pour eux. Or aujourd’hui, après des communications officielles des deux côtés, on apprend que finalement le gouvernement américain annonce un délai de 90 jours avant la mise en place de ladite suppression de licence Android. Plusieurs cas de figure s’offrent à nous : soit il s’agit là d’une communication mal maîtrisée (Google ayant été un peu vite en besogne à appliquer les directives de Donald Trump), soit, et c’est plus probable, les USA joue la carte du « on met la pression, et on donne un peu de mou derrière », histoire de ne pas passer pour les méchants dans l’affaire. Reste que maintenant, Huawei a 90 jours pour trouver une solution. En attendant, vous pouvez toujours vous équiper d’un Huawei P30 Pro, qui lui fonctionne bien sous Android.
La faille touche tous les smartphones Android fonctionnant avec un noyau inférieur à la version 3.18 c’est à dire la majorité des terminaux en circulation.
Votre smartphone Android va bientôt recevoir une mise à jour importante et si vous êtes du genre à tout repousser à demain, il va falloir être un peu plus proactif ce coup-ci. Estampillée d’un nom oscillant entre celui d’un astéroïde et d’une maladie vénérienne, CVE-2015-1805 est une vulnérabilité critique qui permettrait à une application de rooter les terminaux fonctionnant avec des noyaux inférieurs à 3.18, comme le rapporte nos confrères de The Registercités par le blogueur Korben.
Faille critique
Rooter, noyau, 3.18, tout ça ne vous dit rien ? En clair, on parle ici de millions de terminaux vulnérables, notamment – et c’est un comble – les Nexus 5 et Nexus 6, smartphones Android « de référence » de Google. La faille n’est pas anodine puisqu’elle peut entraîner le root du terminal à votre insu. Cette manipulation que les bidouilleurs connaissent bien, consiste à acquérir les privilèges administrateur, et faire ainsi sauter les protections fondamentales d’Android.
Si les bidouilleurs « rootent » leur téléphone pour installer une version maison d’Android, changer des drivers, supprimer les applications tierces, etc. les pirates eux, peuvent prendre le contrôle de votre appareil. Avec tout ce que cela implique.
Ménage sur le Play Store
Le communiqué de Google ne donne pas de noms d’applications malveillantes qui profitent de cette faille, se contentant d’affirmer que le système de vérification des apps (Verify App) a été mis à jour et les logiciels incriminés retirés du Play Store. Un ménage bienvenu mais qui ne protège peut-être pas de futures failles.
Android 6 ne vous protège pas
Quand on parle d’Android, on oublie bien souvent que ce lui-ci fonctionne avec un noyau Linux – l’élément incriminé dans le cas présent.
Wikimedia, CC BY-SA 3.0 – Architecture du système Android
Or, Android n’est pas le noyau Linux, c’est à dire que même si votre smartphone est équipé de la dernière version Android 6 Marshmallow, le noyau Linux n’est peut-être pas, lui, à jour. Dans le cas de notre LG G4 de référence, on voit bien sur la capture d’écran ci-dessous que s’il dispose bien de la version 6 d’Android, le noyau est en version 3.10, donc clairement vulnérable.
On attend donc que les constructeurs de smartphones poussent la mise à jour du noyau sur les terminaux existant. Mais vu le fractionnement d’Android et le nombre de terminaux incriminés, rien n’est moins sûr.
Google va donc devoir redoubler de vigilance sur le Play Store afin que ce genre de faille ne se reproduise pas.
Telephone: 06.25.37.63.80
Fax: N/C
Email: Contact@Corse-Informatique.Com