C'est ce que m'a dit un ami, certes conscient de la sécurité, alors qu'il parlait d'un nouveau téléphone. Au cas où vous ne le sauriez pas, le bogue mentionné affecterait plus d'un milliard de téléphones utilisant une puce Wi-Fi Broadcom et aurait été un moyen simple pour eux de se faire pirater de différentes manières.
Il est fort probable que le téléphone sur lequel vous lisez ceci présente un vilain virus exploitable.
Vous n'avez pas à vous en préoccuper si vous avez un iPhone ou un Pixel (ou tout Nexus toujours pris en charge) ou un BlackBerry sous Android, car il a été mis à jour avant d'être divulgué au public. Mais le Pixel, les modèles récents Nexuses et les BlackBerry Android sont vendus en chiffres infimes comparés à tous les autres téléphones Android (je suis très généreux ici). Cela signifie que des millions et des millions et des millions d'autres téléphones sous Android sont toujours vulnérables. Y compris le Galaxy S8, même si tous les partenaires Android ont eu accès au correctif aussi longtemps que Google, BlackBerry et Apple l’ont fait.
Dans la "vraie vie", c'est à la fois un problème et non un problème. Une chose va de pair avec chaque annonce de malware ou d'autres astuces et outils pouvant être utilisés pour pirater un téléphone à distance: cela ne se produit presque jamais. Mais ça pourrait encore. La logique simple dit un jour que ce sera le cas. Et malheureusement, en dehors d'une sorte de contrôle gouvernemental sur les logiciels de téléphonie (dont personne ne veut), il n'y a aucun moyen de le réparer.
Peu de temps après la sortie du HTC Dream / T-Mobile G1, une faille de sécurité a été découverte, permettant à quiconque de prendre le contrôle via un logiciel externe. Les premiers iPhones utilisaient tous les mêmes informations d'identification d'administrateur pour les connexions à distance. Ce genre de chose vient avec le territoire - tous les logiciels ont des bogues ou des failles qui peuvent être exploités. Ces premiers bugs ont été rapidement corrigés et des mises à jour ont été envoyées aux téléphones. Ce n'est plus comme ça que ça marche, du moins pour Android.
Tous les logiciels jamais écrits ont des bogues. Un bon logiciel les a corrigés.
Étant donné qu'Android est concédé sous une licence open-source, Google n'a aucun contrôle sur son utilisation en dehors des conditions requises pour l'accès à Google Play et aux applications associées. Il est difficile de comprendre cela à moins de connaître le logiciel open source, je le sais. Mais Google ne peut tout simplement pas obliger une entreprise qui fabrique des téléphones Android à faire plus que satisfaire à quelques exigences minimales conçues pour les rendre compatibles avec les API utilisées par les développeurs Play Store pour écrire des applications. Même ceux-ci sont contestés par les tribunaux en Europe.
Cela donne à une autre société le contrôle de la majorité des logiciels que nous appelons Android, et le contrôle entraîne de nombreuses responsabilités. Je crois vraiment que Samsung (par exemple, et parce qu’il s’agit d’une partie importante d’Android) se soucie suffisamment de vouloir que tous ses clients soient à l’abri de menaces telles que le virus Broadcomm. Mais cela demande un travail et un engagement qu’il est incapable de donner. Ce n'est pas que Samsung s'en fiche, il est simplement incapable de le réparer aussi vite en raison du fonctionnement de son entreprise. Il en va de même pour chaque entreprise qui fabrique des téléphones Android, peut-être encore plus, car aucune d'entre elles ne dispose des ressources dont Samsung dispose.
Il dit Android directement sur la boîte, c'est donc le problème de Google.
Le logiciel est difficile. Faire les choses correctement - corriger tous les bogues connus dès qu’ils ont été divulgués - est encore plus difficile. Ajouter un autre intermédiaire signifie que c'est presque impossible.
En fin de compte, tout cela repose sur les épaules de Google. Le nom Android se trouve sur la boîte, sur le téléphone et dans votre esprit lorsque vous achetez un nouveau téléphone. Cela pourrait ne pas être juste pour les personnes de Google qui travaillent d'arrache-pied pour corriger les bugs et publier des mises à jour ou des bulletins de sécurité, mais cela n'a pas d'importance. Android est le bébé de Google. Lorsque de nouveaux téléphones de toutes les entreprises utilisent Android et présentent de graves vulnérabilités, tous les yeux sont tournés vers Mountain View.
Google a pris des mesures pour résoudre le problème, et il en fait encore plus avec Project Treble. Je suis convaincu que l'un des objectifs à long terme est de résoudre le problème d'une manière ou d'une autre, qu'il s'agisse d'une réécriture complète des fondements d'Android, de la modification de la licence d'utilisation ou de la disparition d'un lapin. Il sait aussi bien que nous qu'il possède ce problème et, au lieu de crier au scandale, il essaie de le résoudre.
J'espère que cela sera possible avant qu'il ne soit trop tard, car "ne vouloir utiliser qu'un iPhone ou un pixel" est un sentiment que personne ne veut entendre.