L’American Civil Liberties Union a publié aujourd’hui une plainte (pdf) auprès de la Federal Trade Commission, visant à ouvrir une enquête sur la pratique des principaux transporteurs américains de mettre à jour - ou, plus précisément, de ne pas mettre à jour régulièrement - les smartphones qu’ils vendre pour des raisons de sécurité. "Les smartphones Android", lit-on dans la plainte de 16 pages, "qui ne reçoivent pas de mises à jour de sécurité régulières et rapides sont défectueux et excessivement dangereux."
Chris Soghoian, technologue principal et analyste principal des politiques pour l'ACLU sur la parole, la vie privée et la technologie, a donné un suivi dans un blog, expliquant:
Le système d'exploitation Android de Google représente désormais plus de 75% du marché des smartphones, mais la majorité de ces appareils utilisent un logiciel obsolète, souvent doté de vulnérabilités de sécurité connues et exploitables qui n'ont pas été corrigées. Pour les consommateurs utilisant ces périphériques, il n’existe aucun chemin de mise à niveau logicielle légitime.
Le problème est le processus dans lequel le processus fonctionne. Google fournit le code Android, y compris les mises à jour des bogues et des correctifs de sécurité, mais il appartient aux fabricants de matériel de mettre en œuvre les modifications et aux opérateurs d’approuver et de les faire finalement annuler. C’est un processus long et compliqué que personne ne semble pouvoir améliorer avec un effet réel - du moins pas à la satisfaction de l’ACLU, ni d’une faction minoritaire mais enthousiaste du public acheteur.
L’ACLU, en plus de demander une enquête sur des sociétés comme Verizon, Sprint, T-Mobile et AT & T, appelle spécifiquement à plusieurs choses:
- Pour que les opérateurs "avertissent tous les abonnés utilisant des smartphones Android fournis par l'opérateur avec des vulnérabilités de sécurité connues et non corrigées, de l'existence et de la gravité de ces vulnérabilités, ainsi que des mesures raisonnables que les consommateurs peuvent prendre pour se protéger, notamment en achetant un smartphone différent". Niché dans un autre champ de bataille jeté dans une boîte de vente au détail de smartphone, cela ne ferait probablement pas une grosse différence. Mais imaginez s'il y avait fondamentalement un gros autocollant Hazmat sur votre téléphone.
- Autorisez les clients sous contrat à mettre fin à ce contrat plus tôt (sans pénalité) si leur téléphone "n'a pas reçu de mises à jour de sécurité rapides et régulières". C'est encore relativement ouvert, bien que cela s'appliquerait certainement à certains des appareils les plus bas de gamme.
- Vous donner un remboursement ou un échange (y compris le changement de fabricant et de plate-forme) vers un autre appareil qui reçoit des "mises à jour régulières et régulières"
Ces problèmes de mise à niveau ne concernent pas la plate-forme, bien sûr. Les téléphones plus haut de gamme et populaires ont tendance à recevoir plus d'attention. Et les téléphones "Nexus" de Google, à l'exception du Galaxy Nexus sur Sprint ou Verizon, sont à l'abri de cela, ils obtiennent les mises à jour directement de Google et non les opérateurs. L'ACLU note correctement tout cela.
Bien que nous apprécions l’ACLU qui tente de tenir le feu aux proverbiales des transporteurs, la plainte de l’ACLU pose simplement les mêmes questions que quiconque au courant a déjà demandé de nombreux cycles de mise à niveau. Principalement,
- Qu'est-ce qu'une mise à jour "rapide"? Des solutions de sécurité ont été déployées sur plusieurs transporteurs en un mois. Nous avons vu d'autres personnes attendre des versions de maintenance plus importantes. Qui décide quoi "prompt"?
- Qu'est-ce qu'un calendrier de mise à jour "régulière"?
- Qu'est-ce qui est réaliste - techniquement et financièrement - pour des mises à jour "rapides" et "régulières"? Il n'y a pas de parité dans le monde des smartphones.
- Existe-t-il quelque chose que Google ou les différents fabricants peuvent faire pour accélérer le processus de mise à jour?
Et ceux-ci sont juste au-dessus de notre tête. Encore une fois, nous convenons avec l'ACLU que la sécurité - et les mises à jour de sécurité - sont de la plus haute importance. Et que l'ACLU élève l'enfer est une bonne chose, même si la FTC n'est pas obligée de faire quoi que ce soit. Nous devrions être plus nombreux à le faire, qu'il s'agisse de pétitions, de plaintes officielles - ou de notre méthode préférée, de voter avec votre porte-monnaie.
