Les règles de sécurité des téléphones indiens pourraient finir par ajouter un nouveau point de contrôle avant que les correctifs de sécurité n'atteignent votre téléphone Android ou iPhone. Reuters a rapporté que les projets de normes obligeraient les fabricants de téléphones à informer un organisme de sécurité gouvernemental avant de publier des mises à jour logicielles ou des correctifs de sécurité majeurs.
Cela semble procédural, mais le timing est le produit lorsqu'une vulnérabilité est exploitée. Si un correctif doit franchir une étape supplémentaire, votre appareil peut rester exposé plus longtemps, même si un correctif est prêt.
Une étape de notification avant les correctifs
Au centre du débat se trouve l'obligation pour les fournisseurs d'informer le Centre national pour la sécurité des communications avant la sortie de versions majeures et de correctifs de sécurité. Le même cadre envisage également les tests liés à ces versions, où les entreprises technologiques affirment que les choses peuvent devenir compliquées.
La réponse moderne en matière de sécurité se déroule souvent par étapes. Un premier correctif comble le trou le plus urgent, puis les mises à jour de suivi renforcent le système et nettoient les cas extrêmes. Tout processus encourageant le regroupement de modifications ou l’attente d’une version plus importante peut ralentir ce rythme.
Pourquoi les vendeurs sont nerveux
L'exigence de mise à jour n'est pas isolée. Il s'inscrit dans un package plus large qui permettrait d'apporter des modifications à l'ensemble du téléphone, notamment une analyse périodique des logiciels malveillants et l'obligation de conserver les journaux d'audit de sécurité sur l'appareil pendant 12 mois.
Les entreprises ont averti que l'analyse permanente peut nuire à la durée de vie et aux performances de la batterie, et que la longue conservation des journaux peut nuire au stockage, en particulier sur les téléphones de faible capacité. Le même ensemble de règles comprend également des protections destinées à bloquer l'installation de versions logicielles plus anciennes et des avertissements persistants liés aux appareils rootés ou jailbreakés, les fabricants affirmant que certaines exigences sont difficiles à tester de manière cohérente à grande échelle.
Il existe également une lutte parallèle pour savoir si l'Inde souhaite accéder au code source du téléphone. Le ministère indien de l'informatique a rejeté cette affirmation alors que les consultations se poursuivent sur le cadre de sécurité plus large.
Que regarder ensuite
Les normes ont été rédigées en 2023 et sont actuellement à nouveau discutées alors que l'Inde envisage de les rendre juridiquement exécutoires. Le détail clé pour les consommateurs est de savoir si « notifier » reste un avertissement léger ou devient une étape qui peut retarder les correctifs urgents.
Jusqu’à ce que la forme de la règle soit plus claire, la meilleure solution reste simple. Gardez les mises à jour automatiques activées et installez rapidement les correctifs de sécurité dès leur arrivée.
