Faille Android 4.3 non corrigée : Google s'explique

Un employé de Google a détaillé les raisons qui ont poussé l'éditeur à ne pas corriger une vulnérabilité dans Android. Il a aussi donné quelques conseils aux utilisateurs et aux développeurs.

Il y a quelques jours, Google faisait savoir que les failles affectant Android 4.3 et les versions précédentes ne seraient plus corrigées. Le géant répondait à des chercheurs qui venaient de découvrir des vulnérabilités dans Webkit et le composant "WebView" - qui permet d'afficher des pages web. Cette réaction avait fait grand bruit, car Google abandonnait là une version d'Android, Jelly Bean, utilisée par pas moins de 46% des utilisateurs.

Aujourd'hui, un employé de Google chargé de la sécurité d'Android, Adrian Ludwig, s'est plus longuement expliqué sur Google+. Il a confirmé que Google s'engageait désormais à ne corriger que les deux dernières versions d'Android. Il a aussi expliqué que Webkit atteint plus de 5 millions de lignes de code. Or, "appliquer des patchs pour une branche de Webkit vieille de 2 ans requiert des changements d'une partie significative du code, ce qui n'est désormais plus faisable de manière sûre", a-t-il justifié.

Pour surfer sur le web, ceux qui ne bénéficient pas d'une des deux dernières versions d'Android (Kitkat et Lollipop) sont invités à utiliser Firefox ou Chrome. Quant aux développeurs, ils doivent bien suivre quelques recommandations, et s'assurer notamment que seuls les contenus sûrs (venant d'une source locale ou passant par HTTPS) s'affichent via WebView dans leur applications.

Google / Android