https://pepelac.news/fr/posts/id5158-android-google-restreint-les-infos-des-correctifs-sous-nda

Android: Google restreint les infos des correctifs sous NDA

Google change la divulgation des failles Android: correctifs sous NDA et code retardé

Android: Google restreint les infos des correctifs sous NDA

Google applique un NDA aux OEM et retarde la publication du code des correctifs Android jusqu’à 3 mois. Quel impact pour la sécurité et les ROM indépendantes?

2025-10-13T23:04:39+03:00

Google a remanié sa manière de divulguer les vulnérabilités et de distribuer les correctifs de sécurité pour Android. Désormais, les mises à jour de sécurité seront d’abord envoyées uniquement aux fabricants d’appareils (OEM) ayant signé un accord de confidentialité (NDA).Selon les nouvelles règles, le code source des correctifs peut ne pas être publié pendant trois mois après réception de la mise à jour. Pendant cette période, les fournisseurs ne peuvent livrer que des versions binaires intégrant les correctifs, sans révéler de détails techniques. En pratique, cela ralentit la cadence habituelle de transparence et limite la visibilité initiale à un petit cercle de partenaires.Jusqu’ici, Google publiait des rapports complets sur les vulnérabilités en même temps que les bulletins mensuels de sécurité Android. À titre d’exemple, la liste de septembre 2025 recensait 114 problèmes, tandis que la mise à jour d’octobre a supprimé leurs descriptions. Le contraste saute aux yeux.Ce tournant a d’abord été repéré par l’équipe de GrapheneOS, une distribution Android indépendante centrée sur la confidentialité. Le projet soutient que cette politique compliquera le travail des chercheurs en sécurité indépendants et des développeurs de ROM personnalisées, qui dépendent d’informations techniques rapides pour réagir vite.De son côté, Google affirme que la restriction temporaire vise à rehausser la sécurité globale en empêchant des attaquants d’analyser rapidement les correctifs et d’exploiter les failles avant l’arrivée des mises à jour officielles. L’entreprise décrit l’approche comme une stratégie d’obscurcissement des informations, consistant à retenir les détails jusqu’au déploiement large des correctifs.Pour continuer à livrer des mises à jour sans délai, GrapheneOS a déjà conclu un partenariat avec un fabricant recevant directement les correctifs de Google dans le nouveau cadre. Un contournement pragmatique, qui souligne surtout à quel point l’accès dépend désormais d’accords formels plutôt que d’une documentation ouverte.

Android, Google, mises à jour de sécurité, vulnérabilités, correctifs, NDA, OEM, code source, GrapheneOS, chercheurs en sécurité, ROM personnalisées, confidentialité, bulletins Android

2025

Danny Weber

news

Google change la divulgation des failles Android: correctifs sous NDA et code retardé

Google applique un NDA aux OEM et retarde la publication du code des correctifs Android jusqu’à 3 mois. Quel impact pour la sécurité et les ROM indépendantes?

Danny Weber, Editor

23:04 13-10-2025

Selon les nouvelles règles, le code source des correctifs peut ne pas être publié pendant trois mois après réception de la mise à jour. Pendant cette période, les fournisseurs ne peuvent livrer que des versions binaires intégrant les correctifs, sans révéler de détails techniques. En pratique, cela ralentit la cadence habituelle de transparence et limite la visibilité initiale à un petit cercle de partenaires.

Jusqu’ici, Google publiait des rapports complets sur les vulnérabilités en même temps que les bulletins mensuels de sécurité Android. À titre d’exemple, la liste de septembre 2025 recensait 114 problèmes, tandis que la mise à jour d’octobre a supprimé leurs descriptions. Le contraste saute aux yeux.

Ce tournant a d’abord été repéré par l’équipe de GrapheneOS, une distribution Android indépendante centrée sur la confidentialité. Le projet soutient que cette politique compliquera le travail des chercheurs en sécurité indépendants et des développeurs de ROM personnalisées, qui dépendent d’informations techniques rapides pour réagir vite.

De son côté, Google affirme que la restriction temporaire vise à rehausser la sécurité globale en empêchant des attaquants d’analyser rapidement les correctifs et d’exploiter les failles avant l’arrivée des mises à jour officielles. L’entreprise décrit l’approche comme une stratégie d’obscurcissement des informations, consistant à retenir les détails jusqu’au déploiement large des correctifs.

Pour continuer à livrer des mises à jour sans délai, GrapheneOS a déjà conclu un partenariat avec un fabricant recevant directement les correctifs de Google dans le nouveau cadre. Un contournement pragmatique, qui souligne surtout à quel point l’accès dépend désormais d’accords formels plutôt que d’une documentation ouverte.