oogle publie des bulletins de sécurité mensuels depuis août 2015. Ces bulletins de sécurité contiennent une liste des vulnérabilités de sécurité divulguées qui ont été corrigées et qui affectent le cadre Android, le noyau Linux et d’autres composants de fournisseurs de sources fermées. Chaque vulnérabilité dans les bulletins a été découverte par Google ou divulguée à la société. Chaque vulnérabilité répertoriée possède un numéro CVE (Common Vulnerabilities and Exposures), ainsi que les références associées, le type de vulnérabilité, une évaluation de la gravité et la version AOSP affectée (le cas échéant). Mais malgré le processus apparemment simpliste derrière le fonctionnement des correctifs de sécurité Android, il y a en fait un va-et-vient quelque peu compliqué en arrière-plan qui permet à votre téléphone d’obtenir des correctifs mensuels ou (espérons-le) presque mensuels.

Qu’est-ce qui fait un correctif de sécurité?

Vous avez peut-être remarqué que chaque mois, il existe en fait deux niveaux de correctifs de sécurité. Le format de ces correctifs est YYYY-MM-01 ou YYYY-MM-05. Alors que le YYYY et le MM représentent évidemment l’année et le mois respectivement, le «01» et le «05» ne signifient pas vraiment le jour du mois au cours duquel ce niveau de correctif de sécurité a été publié. Au lieu de cela, les 01 et 05 sont en fait deux niveaux de correctifs de sécurité différents publiés le même jour chaque mois – le niveau de correctif avec 01 à la fin contient des correctifs pour le cadre Android mais pas les correctifs du fournisseur ou les correctifs du noyau Linux en amont. Les correctifs des fournisseurs, comme nous l’avons défini ci-dessus, font référence aux correctifs des composants de source fermée tels que les pilotes pour Wi-Fi et Bluetooth. Le niveau de correctif de sécurité indiqué par -05 contient ces correctifs du fournisseur ainsi que les correctifs du noyau Linux. Jetez un œil au tableau ci-dessous qui peut vous aider à comprendre.

La chronologie d’un correctif de sécurité de Google sur votre téléphone

Les correctifs de sécurité ont une chronologie couvrant environ 30 jours, bien que tous les OEM ne puissent pas profiter de toute la durée de cette chronologie. Jetons un coup d’œil au correctif de sécurité de mai 2019 par exemple, et nous pouvons décomposer l’intégralité de la chronologie de la création de ce correctif. Des entreprises comme Essential parviennent à publier leurs mises à jour de sécurité le même jour que Google Pixel, alors comment font-elles? La réponse courte et simple est qu’ils sont un partenaire Android. Le bulletin de sécurité de mai 2019 a été publié le 6 mai, les mises à jour quasi immédiates de Google Pixels et d’Essential Phone.

Ce que cela signifie d’être un partenaire Android

Pas n’importe quelle entreprise peut être un partenaire Android, mais il est vrai que tous les principaux OEM Android le sont. Les partenaires Android sont les entreprises qui obtiennent une licence pour utiliser la marque Android dans le matériel marketing. Ils sont également autorisés à expédier Google Mobile Services (GMS – se réfère à presque tous les services Google) tant qu’ils satisfont aux exigences décrites dans le document de définition de compatibilité (CDD) et passent la compatibilité Test Suite (CTS), Vendor Test Suite ( VTS), Google Test Suite (GTS) et quelques autres tests. Il existe des différences distinctes dans le processus des correctifs de sécurité pour les entreprises qui ne sont pas un partenaire Android.

Les correctifs de framework Android sont disponibles après leur fusion dans AOSP 1 à 2 jours avant la publication du bulletin de sécurité.
    Les correctifs du noyau Linux en amont peuvent être choisis à la va-vite une fois disponibles.
    Les correctifs des fournisseurs SoC pour les composants de source fermée sont disponibles en fonction des accords avec le fournisseur SoC. Notez que si le fournisseur a donné à l’OEM l’accès au code source des composants à source fermée, alors l’OEM peut résoudre le (s) problème (s) lui-même. Si l’OEM n’a pas accès au code source, il doit attendre que le fournisseur émette un correctif.

Si vous êtes un partenaire Android, vous avez immédiatement beaucoup plus facile. Les partenaires Android sont informés de tous les problèmes de framework Android et des problèmes de noyau Linux au moins 30 jours avant la publication du bulletin. Google fournit des correctifs pour tous les problèmes que les OEM peuvent fusionner et tester, bien que les correctifs des composants du fournisseur dépendent du fournisseur. Par exemple, des correctifs pour les problèmes de framework Android révélés dans le bulletin de sécurité de mai 2019 ont été fournis aux partenaires Android au moins dès le 20 mars 2019 *. C’est beaucoup de temps supplémentaire.

* Remarque: Google peut, et le fait souvent, mettre à jour les correctifs du dernier bulletin de sécurité jusqu’à la publication. Ces mises à jour peuvent se produire si de nouvelles vulnérabilités et bogues ont été trouvés, si Google décide de supprimer certains correctifs du bulletin mensuel en raison de la rupture de composants critiques, si Google met à jour un correctif pour résoudre un bogue créé par la version précédente du correctif, et autres raisons.
Pourquoi dois-je attendre si longtemps pour recevoir un correctif de sécurité sur mon téléphone?

S’il est vrai que les partenaires Android (lire: tous les principaux OEM) ont reçu des correctifs de sécurité bien avant leur sortie, beaucoup sont douloureusement conscients qu’ils ne recevront probablement pas de mise à jour de sécurité pendant des mois après sa sortie. Ceci est généralement dû à l’une des quatre raisons.

    Les OEM peuvent avoir besoin d’apporter de lourdes modifications techniques afin d’accueillir un correctif de sécurité, car il peut entrer en conflit avec le code existant.
    Le fournisseur tarde à fournir le code source de mise à jour pour les composants de source fermée.
    La certification du transporteur peut prendre du temps.
    Les entreprises peuvent être réticentes à publier une mise à jour de sécurité sans également publier une fonctionnalité en même temps.

Bien que toutes ces raisons soient valables pour une entreprise de ne pas publier de correctif de sécurité, l’utilisateur final ne se soucie pas toujours de tout cela. Certes, l’utilisateur final ne se soucie pas toujours non plus des correctifs de sécurité. Des initiatives telles que Project Treble, Linux LTS étendu et Project Mainline aident à éliminer les difficultés techniques de fusion de ces correctifs de sécurité, mais cela ne suffit pas pour que les OEM s’efforcent constamment de publier des mises à jour. Avec une image de noyau générique, ou GKI, les fournisseurs de SoC et les OEM auront plus de facilité à fusionner les correctifs de noyau Linux en amont, bien que nous ne verrions probablement pas les premiers appareils avec GKI avant l’année prochaine.

Mais une information intéressante que la plupart ne savent pas, c’est que les principaux OEM doivent fournir «au moins quatre mises à jour de sécurité» dans l’année suivant le lancement d’un appareil, et 2 ans de mises à jour au total. Google n’a pas confirmé ces conditions spécifiques, mais la société a confirmé avoir «travaillé à l’intégration de correctifs de sécurité dans [leurs] accords OEM». Comme pour les appareils Android Enterprise Recommended (AER), les appareils sont tenus d’obtenir des mises à jour de sécurité dans les 90 jours suivant leur sortie pendant 3 ans. Les appareils AER robustes sont requis pour obtenir 5 ans de mises à jour de sécurité. Les appareils Android One sont censés recevoir des mises à jour de sécurité tous les mois pendant 3 ans.
Que contient un correctif de sécurité?

Un correctif de sécurité n’est qu’une autre mise à jour, bien que généralement beaucoup plus petit avec des modifications apportées aux cadres individuels et aux modules système plutôt que des améliorations ou des modifications à l’échelle du système. Chaque mois, Google fournit aux fabricants d’appareils un fichier zip contenant des correctifs pour toutes les principales versions d’Android actuellement encore prises en charge, ainsi qu’une suite de tests de sécurité. Cette suite de tests aide les OEM à combler les lacunes dans les correctifs de sécurité, afin de s’assurer qu’ils ne manquent de rien et que les correctifs ont été fusionnés de manière appropriée. Au cours du mois, Google peut apporter des modifications mineures, comme décider qu’un correctif spécifique est facultatif, en particulier en cas de problème de mise en œuvre.
Qu’en est-il des ROM personnalisées?

Si votre smartphone ne reçoit pas de nombreuses mises à jour de sécurité, cela ne signifie pas nécessairement que vous feriez mieux de passer à une ROM personnalisée. Bien qu’il soit vrai que vous obtiendrez des mises à jour de sécurité que vous n’auriez pas obtenues autrement, ce n’est que la moitié de l’histoire. Le déverrouillage de votre chargeur de démarrage vous rend vulnérable aux attaques physiques sur votre appareil, même si du côté logiciel, la sécurité est renforcée. Cela ne veut pas dire que vous ne devriez pas utiliser de ROM personnalisées, c’est juste qu’il y a d’autres problèmes en ce qui concerne leur utilisation qui ne s’appliquent pas si votre chargeur de démarrage est verrouillé. Si vous êtes plus inquiet du côté logiciel, vous êtes encore mieux avec une ROM personnalisée qui reçoit des correctifs de sécurité fréquents.