‘Nous ne le faisons pas, parce que cela représente un travail trop important’. Voilà en résumé l’argumentation utilisée par Google pour ne pas avoir corrigé le module internet WebView, ce qui a rendu vulnérables 930 millions d’appareils Android.
Plus tôt ce mois-ci, Tod Beardsley avait tiré la sonnette d’alarme. Une source l’avait informé que Google ne développerait plus de patches pour le module d’affichage WebView dans Android 4.3 et antérieur.
Beardsley avait lancé un appel à Google pour qu’elle change d’avis. Actuellement, selon les chiffres mêmes de Google, seuls 40 pour cent des appareils Android tournent sur des versions 4.4 et supérieures. Ce sont donc 930 millions d’appareils Android encore en utilisation que Google laisse ainsi tomber, avait alors réagi Beardsley.
Adrian Ludwig de Google annonce à présent via Google+ que Google ne fera pas écho à cet appel. ‘Il est question ici de 5 millions de lignes de code auxquelles des centaines de développeurs apportent encore des milliers de nouvelles contributions chaque mois. Dans certains cas, l’application d’un patch à une ramification datant de deux ans de WebKit (sur qui WebView est basé, ndlr) exige des modifications à des portions significatives du code. Ce n’est plus faisable en toute sécurité dans la pratique’, écrit Ludwig.
Les utilisateurs et développeurs d’applis doivent agir
Selon Ludwig, le problème disparaîtra de lui-même au fur et à mesure que les gens adopteront les versions les plus récentes d’Android – que ce soit via une mise à niveau ou en achetant un nouvel appareil. Entre-temps, les utilisateurs d’appareils intégrant des versions de WebView qui ne sont plus supportées, peuvent utiliser des navigateurs tels Chrome et Firefox, qui sont régulièrement actualisés. Cela les protègera contre les dangers existants et à venir, toujours selon Ludwig.
Les développeurs de logiciels peuvent aussi protéger les utilisateurs de leurs applis en tenant compte de toutes les meilleure pratiques dans le domaine d’une programmation sûre, en n’intégrant que du contenu familier dans leurs applis (de sources locales ou via une connexion https) et – dans les cas où il faut également communiquer avec l’open internet – en développant leur propre module d’affichage.
La contribution de Ludwig a en tout cas provoqué un débat animé sur Google+. A côté de personnes compréhensives, pas mal de commentateurs se demandent pourquoi Microsoft et Apple sont, elles, à même d’assurer une maintenance plus longue de leur software, et Google pas. Ludwig passe aussi très facilement sous silence le fait que l’utilisation de Chrome ou de Firefox n’apporte rien à la protection des applis utilisant WebView, selon les esprits critiques, alors même que sa suggestion de laisser aux développeurs de software le soin de mettre au point leur propre module d’affichage, est jugée comme une option peu sérieuse.
Politique de patches explicitée
Ludwig indique par ailleurs clairement ce sur quoi les acheteurs d’appareils Android et les développeurs d’applis pourront compter à l’avenir. Google fournira des patches pour l’actuelle ramification d’Android dans l’Android Open Source Project et délivrera aux partenaires Android des patches pour les deux dernières versions importantes du système d’exploitation au minimum. Lors de la prochaine version d’Android, Google se réservera en d’autres mots le droit de ne plus corriger la version KitKat.
Source: Automatiseringgids.nl
