Le système d’exploitation ouvert de Google destiné aux mobiles, Android, peut être distribué par de nombreux acteurs de l’écosystème global.
Pour le meilleur, mais aussi pour le pire.

Pour le meilleur tout d’abord

L’ouverture du système d’exploitation amène de nombreuses possibilités en termes de personnalisation, et une diversité importante dans les appareils mobiles Android disponibles sur le marché.
L’écosystème Android compte plusieurs centaines de fabricants d’appareils, même si au final seuls quelques uns d’entre eux fabriquent plus de 80% des mobiles.
En plus des fabricants, les opérateurs aussi apportent leur touche de personnalisation aux appareils qu’ils commercialisent.
Cette ouverture a sans nul doute joué un rôle important dans le succès d’Android, et explique pourquoi aujourd’hui (Avril 2015) 63% des appareils mobiles fonctionnent sous Android (iOS est descendu à 20,84%), d’après les données fournies par statcounter.com .

Pour le pire

Lorsqu’il faut appliquer des mises à jour de sécurité sur les applications, Android ne semble pas être ni meilleur ni moins bon qu’iOS dans le sens où tous deux permettent aux développeurs d’envoyer leurs versions mises à jour sur les app stores.
Cependant, lorsqu’il s’agit de vulnérabilités présentes sur le système d’exploitation, le processus de mise à jour n’est pas si simple, et assez lent.
Prenons l’exemple d’une faille découverte par un chercheur en sécurité ou directement par Google. Google n’a en général besoin que de quelques jours ou semaines pour développer un correctif et le mettre à disposition dans le dépôt de l’AOSP (Android Open Source Project). Mais à cet instant les appareils des utilisateurs finaux ne sont toujours pas mis à jour. Combien de temps faut-il à un appareil pour recevoir cette mise à jour?

Sécurité mobile - paiement

Les mobiles Nexus bénéficient du fait qu’ils sont directement distribués et gérés par Google, et reçoivent ainsi les mises à jour de façon rapide.
Les autres appareils cependant, sont mis à jours par leurs fabricants, qui doivent tout d’abord modifier leur “branche” Android afin d’y intégrer les correctifs de sécurité.
Cela prend généralement du temps, puisque les fabricants se focalisent tout d’abord sur les nouveaux appareils à mettre sur le marché avant de créer de nouvelles releases d’Android OS pour les appareils existants.
Qu’en est-il des opérateurs téléphoniques? Ceux-là doivent tout d’abord attendre que les fabricants d’appareils mettent à disposition une nouvelle version d’android pour leurs mobiles. Ensuite, ces opérateurs vont également apporter leurs modifications au système d’exploitation (personnalisation du design, applications spécifiques…) et pousseront ensuite la nouvelle mouture d’Android vers leurs utilisateurs finaux.
Au final, certains utilisateurs recevront la mise à jour de sécurité en quelques jours, d’autres la recevront en quelques semaines, certains sous plusieurs mois, et d’autres ne la recevront tout simplement pas.

Insécurité programmée

Les appareils Nexus de Google reçoivent les mises à jour de sécurité pendant environ 18 mois après la date de sortie de l’appareil. Certains consommateurs achètent les appareils dès leur sortie, mais qu’en est-il des consommateurs achetant des appareils un an après leur sortie, lorsque les prix baissent légèrement?
On entend souvent parler d’obsolescence programmée; on peut parler ici d’insécurité programmée.
Si l’on compare au support accordé aux systèmes d’exploitation des ordinateurs de bureau, celui d’Android est très court. Pour exemple, le support de Windows XP a été assuré pendant 12 ans.

Les anciennes versions d’Android pas mises à jour

Pouvez-vous croire votre téléphone ou tablette lorsqu’il vous dit que “Votre produit est à jour”?
Pas vraiment. Si vous utilisez la version 4.3 d’Android et que la 4.4 est disponible chez Google, cela signifie que vous êtes exposé à des vulnérabilités.

Le fait est que les anciennes versions mineures ne reçoivent pas ces mises à jour de sécurité : Le rétroportage est quasi inexistant.
Par exemple, la version 4.4 d’Android recevra une mise à jour de sécurité, alors que les versions 4.3.x ne la recevront pas.

Quels types de vulnérabilité?

La vulnérabilité CVE-2013-6272 est un bon exemple pour montrer aux utilisateurs ce qu’une vulnérabilité du système d’exploitation Android peut être.
Cette faille est en fait un bug qui permet à une application de déclencher des appels téléphoniques depuis l’appareil, vers n’importe quel numéro, et ce même si vous n’avez pas autorisé l’application à le faire!
En termes d’exploitation, cette vulnérabilité peut permettre à une personne développant ou repackageant une application d’effectuer des appels surtaxés (vers son propre service afin de récupérer des fonds). Votre facture de téléphone pourrait donc exploser.

Conserver des coûts de support raisonnables

L’ouverture d’Android offre de nombreuses possibilités, telles que la personnalisation. Les fabricants d’appareils peuvent ainsi essayer de se différencier les uns des autres via le système d’exploitation.
Ce processus de personnalisation peut également apporter ses propres bugs et failles dans le logiciel, mais c’est un autre sujet.
Tous les fabricants souhaitent satisfaire leurs clients, et doivent donc mettre à jour leurs appareils. Mais ces fabricants doivent également conserver un niveau de coûts de support raisonnable, et donc trouver le bon équilibre entre ouverture et sécurité.

Ressources :
– Stat Counter Global Stats : http://gs.statcounter.com/
– Historique des versions d’Android : http://en.wikipedia.org/wiki/Android_version_history