Google apporte du changement dans le fonctionnement des mises à jour de sécurité Android. Comme l’ont remarqué nos confrères d’Android Authority, le géant de Mountain View vient de passer à des mises à jour « basés sur le risque ». Ces mises à jour viennent remplacer les correctifs déployés systématiquement tous les mois sur les smartphones Android.
À lire aussi : Alerte chez Samsung – une faille Android critique a été corrigée, mettez à jour votre Galaxy
Le problème des mises à jour de sécurité Android
Jusqu’à aujourd’hui, Google déployait tous les correctifs conçus par ses équipes tous les mois, sans faire de distinction entre un patch pour une faille mineure ou une vulnérabilité critique. Google a procédé de la sorte pendant plus de dix ans. Les constructeurs devaient trier, tester et intégrer des dizaines de correctifs tous les mois à leurs surcouches Android. En théorie, ce procédé assurait une protection régulière des téléphones Android.
D’un point de vue pratique, il s’est vite avéré que beaucoup d’appareils recevaient leurs patchs avec retard, voire pas du tout. La charge de travail était trop élevée pour les constructeurs. Les fabricants ont pris le pli de sacrifier les smartphones milieu ou entrée de gamme de leurs catalogues. De facto, des millions d’appareils se retrouvent vulnérables aux cyberattaques. Même si Google publie ses correctifs à temps tous les mois, l’écosystème est tellement fragmenté que beaucoup d’appareils Android traînent toujours des failles de sécurité connues.
À lire aussi : Nouvelle menace Android – le malware Hook mute et risque de faire un carnage
C’est quoi des mises à jour basées sur le risque ?
Pour venir à bout de ce problème récurrent, Google a décidé de revoir le rythme de déploiement des mises à jour de sécurité sur Android. Désormais, le géant américain va s’appuyer sur un système de mises à jour « basé sur le risque ». En clair, seuls les correctifs jugés urgents seront déployés tous les mois. Google va se concentrer en priorité sur les vulnérabilités qui représentent une menace concrète ou qui sont activement exploitées par des cybercriminels.
Les autres failles, jugés moins préoccupantes, seront corrigées par le biais de gros bulletins trimestriels. In fine, la nouvelle approche de Google va soulager les constructeurs en réduisant la charge de travail mensuel. La firme s’assure ainsi que les fabricants ont le temps de corriger toutes les vulnérabilités les plus critiques, et de déployer les patchs sur davantage de smartphones différents. Les bulletins trimestriels rassemblent plusieurs correctifs en une seule fois. Ils vont aider les constructeurs à préparer des mises à jour stables et compatibles pour tous leurs modèles en amont du déploiement. Google prévient en effet les fabricants bien avant la publication d’un patch.
Un changement qui comporte des risques
Comme l’explique un porte-parole de Google à Android Authority, ses équipes « traitent en continu les vulnérabilités connues, en donnant la priorité aux plus risquées ». La nouvelle approche a été inaugurée cet été. C’est pourquoi le bulletin de sécurité Android de juillet 2025 ne contient aucun correctif critique, tandis que le patch de septembre 2025 recense 119 correctifs.
Pour la majorité des usagers, rien ne va changer. Si votre téléphone reçoit déjà des mises à jour de sécurité tous les mois, ce sera toujours le cas jusqu’à nouvel ordre. Si ce n’est pas le cas, et que vous avez un téléphone plus ancien qui approche de l’obsolescence, la nouvelle approche de Google pourrait aider les constructeurs à déployer des mises à jour de sécurité de façon prolongée.
Malheureusement, le nouveau système comporte certains risques. Les ingénieurs de GrapheneOS craignent que les informations concernant les vulnérabilités non corrigées, désormais communiquées plusieurs mois avant le correctif, ne finissent entre les mains de cybercriminels. En cas de fuite, les pirates auront plus de temps pour trouver le moyen d’exploiter d’une faille. C’est un risque très hypothétique, mais Android Authority rappelle que « des dizaines de milliers d’ingénieurs dans des dizaines d’entreprises » auront accès aux informations sur les failles.
Enfin, les systèmes Android personnalisés (ROM) ne peuvent dorénavant plus proposer de mises à jour mensuelles, étant donné que Google ne publie plus chaque mois le code source des correctifs de sécurité. En améliorant les mises à jour Android, Google a paradoxalement réduit la réactivité des développeurs de ROM, ouvrant la voie à des attaques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Android Authority
