"Ce bogue de Broadcom me donne envie de ne pas utiliser autre chose qu'un iPhone ou un Pixel."
C'est ce que j'ai entendu d'un ami conscient de la sécurité en lui parlant d'un nouveau téléphone. Le bogue étant référencé ici, au cas où vous ne le sauriez pas, touché plus d'un milliard de téléphones qui utilisent une puce Wi-Fi Broadcom et auraient été un moyen facile pour eux tous d'être piratés de plusieurs façons.
Très probablement, le téléphone sur lequel vous lisez ceci a un bogue désagréable et exploitable.
Vous n'avez pas à vous en soucier si vous avez un iPhone ou un Pixel (ou n'importe quel Nexus qui est toujours pris en charge) ou un Android Mûre parce qu'il a été corrigé avant d'être divulgué au public. Mais le Pixel, dernier modèle Nexus et les BlackBerry Android vendus en nombre infime par rapport à tous les autres téléphones Android (je suis très généreux ici). Cela signifie que des millions et des millions et des millions d'autres téléphones Android sont toujours vulnérables. Y compris le Galaxy S8, même si tous les partenaires Android ont eu accès au correctif aussi longtemps que Google, BlackBerry et Apple.
Dans la "vraie vie", c'est à la fois un problème et pas un problème. Une chose va de pair avec chaque annonce de malware ou d'autres astuces et outils pouvant être utilisés pour pirater un téléphone à distance: cela n'arrive presque jamais. Mais ça pourrait encore. La simple logique dit qu'un jour ce sera le cas. Et malheureusement, en dehors d'une sorte de contrôle gouvernemental sur les logiciels de téléphonie (dont personne ne veut), il n'y a aucun moyen de le réparer.
Peu de temps après la sortie du HTC Dream/T-Mobile G1, une faille de sécurité a été trouvée où n'importe qui pouvait prendre le contrôle via un logiciel extérieur. Les premiers iPhones utilisaient tous les mêmes informations d'identification d'administrateur pour les connexions à distance. Ce genre de chose vient avec le territoire - tous les logiciels ont des bogues ou des trous qui peuvent être exploités. Ces premiers bogues ont été rapidement corrigés et des mises à jour ont été envoyées aux téléphones. Ce n'est plus comme ça que ça marche, du moins pour Android.
Tous les logiciels jamais écrits ont des bogues. Un bon logiciel les a corrigés.
Étant donné qu'Android est fourni sous une licence open source, Google n'a aucun contrôle sur la manière dont il est utilisé en dehors des conditions d'accès à Google Play et aux applications associées. Il est difficile de comprendre cela à moins que vous ne soyez familier avec les logiciels open source, je sais. Mais Google ne peut tout simplement pas forcer une entreprise qui fabrique des téléphones Android à faire autre chose que de rencontrer un quelques exigences minimales conçues pour les rendre compatibles avec les API que les développeurs du Play Store utilisent pour écrire applications. Même ceux-ci sont mis en cause par les tribunaux en Europe.
Cela donne à une autre entreprise le contrôle de la majorité des logiciels que nous appelons Android, et le contrôle s'accompagne d'une grande responsabilité. Je crois vraiment que Samsung (par exemple et parce qu'il s'agit d'une si grande partie d'Android) se soucie suffisamment de vouloir que tous ses clients soient immunisés contre des choses comme le bogue Broadcomm. Mais cela demande un travail et un engagement qu'il est incapable de donner. Ce n'est pas que Samsung ne s'en soucie pas, il est simplement incapable de le réparer aussi rapidement en raison du fonctionnement de son entreprise. Il en va de même pour toutes les entreprises qui fabriquent des téléphones Android, peut-être encore plus parce qu'aucune n'a les ressources dont dispose Samsung.
Il est indiqué Android directement sur la boîte, c'est donc le problème de Google.
Le logiciel est difficile. Faire les choses correctement - corriger chaque bogue connu dès qu'il est révélé - est encore plus difficile. Ajouter un autre intermédiaire signifie que c'est presque impossible.
En fin de compte, tout cela tombe sur les épaules de Google. Le nom Android est sur la boîte, sur le téléphone et dans votre esprit lorsque vous achetez un nouveau téléphone. Cela n'est peut-être pas juste pour les personnes de Google qui travaillent dur pour corriger les bogues et publier des mises à jour ou des bulletins de sécurité, mais cela n'a pas d'importance. Android est le bébé de Google. Lorsque de nouveaux téléphones de n'importe quelle entreprise exécutent Android et présentent de graves vulnérabilités, tous les regards se tournent vers Mountain View.
Google a fait des choses pour résoudre le problème, et il fait encore plus avec Projet Treble. Je suis sûr que l'un des objectifs à long terme est de résoudre le problème d'une manière ou d'une autre, que cela signifie une réécriture complète des fondements d'Android, une modification de la licence d'utilisation ou la sortie d'un lapin d'un chapeau. Il sait aussi bien que nous qu'il est responsable de ce problème, et plutôt que de crier au scandale, il essaie de le résoudre.
J'espère qu'il pourra le faire avant qu'il ne soit trop tard, car "ne pas vouloir utiliser autre chose qu'un iPhone ou un Pixel" est un sentiment que personne ne veut entendre.