Nous nous demandons s’il est possible d’utiliser un appareil Android même s’il ne reçoit plus aucune mise à jour de sécurité.
Google n’est pas responsable de la mise à jour de tous les appareils Android en circulation, mais uniquement de sa propre série Pixel. Pour les autres appareils mobiles, c’est au fabricant de produire et de transmettre les mises à jour, y compris les mises à jour de sécurité, aux utilisateurs individuels.
Prenons l’exemple des appareils phares de la série Galaxy de Samsung : lorsque Google publie une nouvelle version d’Android, Samsung la modifie en intégrant son interface, de nombreuses personnalisations et des fonctionnalités supplémentaires, puis la met à la disposition de ses clients. Chaque fabricant publie les mises à jour d’Android à des moments différents : les Google Pixel pris en charge sont bien sûr les premiers à recevoir les nouvelles versions d’Android.
Chaque Google Pixel bénéficie de 3 ans de mises à jour du système d’exploitation (pensez aux versions majeures comme Android 12, Android 13, …) et reçoit des correctifs de sécurité sur une base mensuelle. Les Pixel 6 et suivants reçoivent des mises à jour de sécurité pendant 5 ans, la période d’assistance commençant toujours lorsque le téléphone est commercialisé par Google, et non lorsque vous l’achetez.
Les téléphones et tablettes phares de Samsung bénéficient désormais de 4 ans de mises à jour majeures du système d’exploitation, tandis que les appareils moins chers de la même société ne vont pas au-delà de 2 ou 3 ans de support, sans garanties spécifiques.
Chaque constructeur applique cependant ses propres politiques de mise à jour spécifiques, malgré la » pression » exercée par Google. OnePlus a promis que certains smartphones dévoilés en 2023 recevront quatre versions majeures d’Android et 5 ans de correctifs de sécurité (bien que ceux-ci soient publiés tous les deux mois au lieu de tous les mois). Motorola ne fournit que 1 à 2 ans de mises à jour pour la plupart de ses téléphones.
Une liste des smartphones qui seront abandonnés par leurs fabricants respectifs au cours des prochains mois peut être consultée ici.
Quoi qu’il en soit, la plupart des appareils Android cessent de recevoir les mises à jour majeures (nouvelles versions du système d’exploitation) et les correctifs de sécurité que Google documente chaque mois dans ses bulletins, bien avant que le matériel ne devienne inutilisable, par exemple parce qu’une panne survient ou qu’il devienne véritablement obsolète (par exemple parce que les applications Android imposent des exigences plus élevées…).
Que se passe-t-il lorsque le support Android prend fin ?
La plupart des services et des applications sur les appareils Android sont mis à jour indépendamment du système d’exploitation. Cela vaut également pour le Google Play Store et les services Play en général : contrairement à ce qui se passe dans le monde Apple, les principaux composants du système continuent donc d’être mis à jour vers les dernières versions, même lorsque l’appareil utilisé n’est plus pris en charge par le fabricant.
En ce qui concerne le Play Store, il suffit de dire qu’il fonctionne toujours sous Android 4.4, qui est arrivé pour la première fois sur les appareils introduits en septembre 2013.
Au contraire, avec le projet Mainline, encore amélioré dans Android 13, Google peut forcer la distribution et l’installation de correctifs de sécurité particulièrement importants, en surmontant l' »immobilisme » des fabricants individuels, en réduisant les délais et en ayant la possibilité de protéger les nombreux appareils Android non pris en charge qui sont en circulation aujourd’hui et activement utilisés par les utilisateurs.
Le navigateur Google Chrome lui-même, comme les autres applications Android (sauf si les exigences sont modifiées par les développeurs individuels), se met à jour sans problème via le Play Store sur tous les appareils Android qui ont maintenant dépassé le cycle de vie du fabricant.
Nous avons dit que le Play Store fonctionne toujours sur des appareils vieux de 10 ans : il n’en va pas de même pour les applications Android. Par exemple, l’application Facebook nécessite Android 6.0 et plus, tandis qu’Outlook ne fonctionne que sur Android 8.0 et plus. En général, les versions « Lite » ou les applications web permettent d’utiliser les applications même sur des terminaux plus anciens.
Le problème réside dans les nouvelles failles de sécurité qui sont découvertes dans Android, comme dans tout autre système d’exploitation, et corrigées chaque mois par les ingénieurs de Google.
Il est vrai que les composants critiques tels que Chrome et Android System WebView sont constamment mis à jour via le Play Store (ce qui réduit considérablement la surface d’attaque), mais aujourd’hui encore, disposer d’un appareil Android capable de recevoir régulièrement des mises à jour de sécurité est le meilleur moyen d’être aussi protégé que possible.
Google Play Protect n’offre malheureusement pas encore une protection adéquate : sur les appareils Android qui ne sont pas mis à jour avec les derniers correctifs de sécurité, il faut donc envisager d’utiliser Malwarebytes Antivirus Mobile, qui offre également une solide protection contre les applications qui utilisent des permissions dangereuses.
Pour résoudre la situation et recommencer à recevoir les mises à jour de sécurité de Google, documentées chaque mois dans le bulletin de la société, il est possible de mettre à niveau Android vers une ROM alternative.
Pour ce faire, il est généralement nécessaire d’activer le débogage USB dans les options de développement d’Android, de déverrouiller le bootloader, d’installer une restauration personnalisée (il s’agit de l’environnement de « service » qui est généralement activé en appuyant simultanément sur le bouton d’alimentation et la touche « volume bas ») telle que TWRP et de l’utiliser pour remplacer la ROM officielle du fabricant par une autre.
Le choix devrait toujours se porter sur les ROM les plus connues et les plus populaires, qui peuvent compter sur une communauté active qui s’efforce constamment d’améliorer le produit : LineageOS est l’une des plus connues, tandis que Pixelexperience est l’une des plus » pures « , c’est-à-dire capable de reproduire servilement l’expérience utilisateur des smartphones Google Pixel.
En installant l’une des meilleures ROM alternatives, vous serez sûr de recevoir les mises à jour de sécurité mensuelles de Google et de bénéficier ainsi d’un appareil Android toujours protégé.
En revanche, les ROMs peu connues et les projets qui ne sont pas open source sont à éviter : pour toutes les ROMs alternatives populaires, en effet, le code source est régulièrement publié et mis à jour sur GitHub. N’importe qui peut y jeter un coup d’œil, effectuer une analyse approfondie et s’assurer que le code source ne contient pas de code potentiellement dangereux.
Les ROM tierces sont dérivées de la version AOSP (Android Open Source Project) d’Android : il s’agit du code source du système d’exploitation de Google que chacun peut utiliser pour développer des projets alternatifs.
L’AOSP constitue la base d’Android Vanilla, une version qui est également distribuée aux fabricants d’appareils et qui est largement personnalisée par ces derniers.
La version AOSP est également exempte de services et d’applications Google, y compris le Play Store. Les partenaires de Google concluent des accords avec la société de Mountain View pour inclure le Play Store et d’autres applications de l’écosystème.
L’AOSP est certainement l’une des principales raisons du succès de la plateforme Android dans le monde.
Combien de temps est-il possible d’utiliser l’appareil Android en toute sécurité ? En principe, c’est possible jusqu’à la fin de l’assistance du fabricant. Comme nous l’avons vu, le remplacement de la ROM officielle par une ROM alternative peut prolonger la réception des mises à jour de sécurité pendant plusieurs années. Même les ROM alternatives ne sont pas éternelles : en accédant au site officiel de chaque projet et en cliquant sur les cases Show discontinued devices ou similaires, vous pouvez découvrir quels appareils ne sont plus pris en charge.
Il est également possible de continuer à utiliser un appareil Android qui ne reçoit plus de mises à jour de sécurité, mais dans ce cas, il faut être encore plus prudent et minutieux. Tout d’abord, il est bon de se rendre dans la section À propos du téléphone des paramètres d’Android et de sélectionner le niveau du correctif de sécurité. En regardant la date à côté de cette entrée, vous pouvez savoir quand votre smartphone a reçu les derniers correctifs de sécurité.
Si vous ne trouvez pas cette entrée ou si vous souhaitez obtenir des informations supplémentaires, vous pouvez installer et exécuter DevCheck : en allant dans l’onglet Système, vous pouvez vérifier ce qui est répertorié sous Correctifs de sécurité.
Comme nous l’avons déjà vu, sur les appareils qui ne sont plus pris en charge par le fabricant, les derniers correctifs de sécurité peuvent avoir été reçus il y a plusieurs mois. En revanche, les services Google Play (voir ci-dessous dans l’écran DevCheck System) semblent avoir été mis à jour récemment.
Si vous décidez de continuer à utiliser un appareil Android qui ne reçoit plus aucune mise à jour de sécurité, il est essentiel d’installer des applications provenant de sources officielles telles que le Google Play Store ou la boutique Amazon, et de ne choisir que des applications réalisées par des développeurs connus. Il est également important de s’abstenir d’attribuer des permissions potentiellement dangereuses, notamment des autorisations spéciales et des fonctions d’accessibilité. De nombreux logiciels malveillants Android, tels que GodFather, les exploitent pour interagir à un faible niveau avec l’appareil mobile.
Dans le même temps, il est essentiel de maintenir à jour les navigateurs web utilisés sur l’appareil, ainsi qu’un composant crucial tel que le WebView du système Android utilisé pour le rendu du contenu des pages web dans les applications.
Voir aussi : VPN pour Android les 5 meilleurs VPN pour votre appareils