Plus d’un utilisateur Android sur trois continue d’utiliser un smartphone dont le système d’exploitation n’est plus mis à jour, ouvrant la porte à des failles de sécurité potentiellement graves. Cette situation, exacerbée par la fragmentation du système d’exploitation de Google, expose des centaines de millions de personnes à des risques croissants de cyberattaques.
Selon les dernières statistiques de StatCounter, plus de 30 % des utilisateurs d’Android à travers le monde fonctionnent encore avec des versions du système d’exploitation datant d’Android 13 ou d’avant. Un logiciel âgé de trois ans, ce qui représente une durée considérable dans le monde en constante évolution de la technologie mobile.
Cette réalité signifie qu’environ un milliard de personnes utilisent quotidiennement un appareil qui ne bénéficie plus des correctifs de sécurité de Google, les rendant vulnérables à des menaces potentielles. L’entreprise spécialisée dans la cybersécurité Zimperium va même plus loin, estimant que plus de la moitié des appareils mobiles en circulation fonctionnent avec des versions obsolètes, dont un nombre significatif est déjà compromis ou infecté par des logiciels malveillants.
Pour illustrer la gravité de la situation, la mise à jour de sécurité de décembre 2023 publiée par Google a corrigé 107 vulnérabilités. Imaginez les conséquences pour un utilisateur dont l’appareil est affecté par de telles failles et incapable de recevoir les correctifs nécessaires pour protéger ses données.
Le contraste est saisissant avec le monde des iPhones. Environ 90 % des iPhones actifs bénéficient toujours du support logiciel d’Apple, ne laissant qu’une minorité de 10 % des appareils Apple obsolètes. Cette différence considérable n’est pas le fruit du hasard, mais reflète un problème structurel historique propre à Android : la fragmentation.
Le système d’exploitation de Google est utilisé par des centaines de fabricants, chacun appliquant ses propres personnalisations et respectant ses propres calendriers de mise à jour. À l’inverse, Apple contrôle l’ensemble de la chaîne, du logiciel au matériel, ce qui lui permet de déployer les mises à jour simultanément sur tous ses appareils. Dans l’écosystème Android, chaque mise à jour doit être adaptée à différents processeurs, interfaces utilisateur personnalisées et spécifications techniques.
Ce problème de fragmentation n’est pas nouveau et a été soulevé à plusieurs reprises depuis l’ascension d’Android sur le marché mobile. Cependant, il persiste et s’aggrave, comme le souligne Security Boulevard, créant un cycle inquiétant où des vulnérabilités sont découvertes et documentées, mais restent exploitables sur un grand nombre d’appareils jusqu’à ce que les mises à jour soient largement déployées.
Les conséquences peuvent être désastreuses. Les cyberattaques visant à voler des données personnelles et des identifiants d’accès aux applications constituent une menace croissante. Les mots de passe bancaires, les informations de paiement, les données personnelles et les photos privées stockées sur votre smartphone deviennent des cibles potentielles si l’appareil n’est plus protégé par les mises à jour de sécurité.
« Même si au départ ces attaques peuvent paraître limitées et ciblées, elles deviendront rapidement des outils indispensables pour un large éventail de mauvais acteurs », avertit James Maude, expert en cybersécurité chez BeyondTrust.
La solution la plus immédiate pour les utilisateurs dont le smartphone n’est plus pris en charge est d’envisager l’achat d’un nouvel appareil. Bien que cela représente un investissement, il doit être considéré comme une assurance pour vos données personnelles et votre vie privée.
À plus long terme, une intervention structurelle de Google et des fabricants d’appareils est nécessaire. Il est impératif de repenser le modèle de distribution des mises à jour, en garantissant des périodes de support plus longues et plus uniformes, quel que soit le fabricant ou le modèle de smartphone. Ce n’est qu’ainsi qu’il sera possible de réduire considérablement le nombre d’appareils vulnérables et de protéger efficacement les utilisateurs contre les cybermenaces en constante évolution.
