Nous savions déjà que Google, le grand pourfendeur de bugs des autres devant l'Eternel ne corrigera pas une faille dans Webview qui menace potentiellement près d'un milliard d'utilisateurs Android.

Mais nous savons aujourd'hui pourquoi. En trois mots : c'est trop difficile.

C'est le plus sérieusement du monde que Adrian Ludwig explique dans un billet posté sur Google+ que cette faille de Webview concerne le composant WebKit sur lequel Webview s'appuie.

Or WebKit c'est 5 millions de lignes de codes avec des milliers de nouvelles contributions ou correctifs apportés chaque mois par des développeurs. Corriger cette vulnérabilité impliquerait de patcher des branches de code vieilles de plus de deux ans, et cela toucherait de larges portions de code, nous dit-on. Tout cela est trop difficile et pourrait créer plus de problèmes de sécurité que cela n'en résoudrait, selon Adrian Ludwig. Pour lui la manière de se prémunir de cette faille est d'upgrader vers Android 4.4 ou de changer de navigateur.

Mais pour cela, encore faut-il que la mise à jour du système soit possible ou que l'utilisateur lambda soit averti de l'existence de la vulnérabilité et du danger qu'il coure.

Avec cette vulnérabilité Webview, les cybercriminels ont de belles perspectives de business devant eux.

Corriger un problème de sécurité n'a certes jamais été facile. Il y a de nombreuses implications et il faut s'assurer que le correctif n'introduise pas plus de problèmes qu'il n'en résout, en effet. C'est d'ailleurs très exactement ce qu'expliquait Chris Betz, de Microsoft, dans son billet courroucé, suite aux divulgations de failles dans Windows par le Project X de Google.

Corriger des vulnérabilités, c'est difficile... beaucoup plus que de dévoiler celles des autres...