Google a toujours indiqué supporter chaque version d’Android pendant deux ans. Et même si les versions d’Android qui sont encore dans la fenêtre de support représentent moins de 40% des appareils en circulation, le géant ne veut pas déroger à cette règle pour des failles de sécurité…
Le cabinet d’expertise en sécurité Rapid7 indique en effet avoir remonté à Google des failles dans le composant WebView d’Android 4.3. En retour, Google lui a répondu que cette version n’était plus supporté, et donc, qu’il n’allait pas développer de correctif, mais simplement signaler l’existence de la faille aux constructeurs d’appareils Android, pour qu’ils puissent éventuellement la patcher de leur côté s’ils le souhaitent…
Google se justifie notamment par le fait que depuis Android 4.4 un changement majeur a été opéré au niveau de WebView. Jusqu’à Android 4.3, Google proposait en effet un « Navigateur Android », et l’utilisateur pouvait installer en plus le navigateur Chrome. Tous deux étaient basés sur WebKit, mais le moteur de Chrome était plus avancé et plus à jour.
Le composant WebView, qui permet à un développeur d’intégrer facilement des contenus web (HTML/JavaScript) dans son application utilisait le moteur du « Navigateur Android » jusqu’à Android 4.3, puis à basculé sur le moteur de Chrome à partir d’Android 4.4. En conséquence, le moteur de WebView se met désormais à jour via le Play Store lors d’une mise à jour de Chrome, mais l’ancien WebView ne bénéficie plus d’aucun support.
Là où le bat blesse, c’est que la politique de support minimaliste, voir inexistante, d’un grand nombre de constructeurs d’appareils Android fait que l’écrasante majorité des utilisateurs d’Android sont justement encore sous Android 4.3 ou antérieure… Selon les derniers chiffres fournis par Google, les versions 4.3 et antérieures représentent encore 60.9% des connexions au Play Store, soit probablement une part encore plus grande de l’ensemble du parc, les utilisateurs d’appareils anciens ayant tendance à se connecter moins souvent à la boutique de Google…
Cette attitude est d’autant plus critiquable que Google avait il y a quelques semaines rendue publique une faille de sécurité de Windows pour mettre la pression sur Microsoft, à qui il reprochait de ne toujours pas l’avoir corrigée 90 jours après la lui avoir signalée… L’hôpital qui se fout de la charité ?
Le truc c’est que même si Google proposait la mise à jour, combien de constructeurs la distribuerait ? Cela n’excuse cependant pas Google…
Yep, c’est clair que ça aide pas. Cela dit, même quand les constructeurs ne proposent pas de nouvelle version majeure d’Android, ils assurent parfois le support de la version qu’ils proposent. Par exemple, sur ma tablette, Asus a visiblement décidé de pas aller au delà d’Android 4.4.2, mais depuis qu’il a publié cette version (en juillet 2014), j’ai eu 4 ou 5 mises à jour système, tout en restant en 4.4.2 (la dernière a un noyau compilé le 18 décembre 2014, c’est tout frais).