Google prépare un changement majeur dans sa gestion des mises à jour de sécurité Android . Au lieu des traditionnels bulletins mensuels avec correctifs cumulatifs, le système adoptera une approche « basée sur les risques » , calibrée en fonction du niveau de risque de chaque vulnérabilité. L'objectif est de minimiser l'exposition aux attaques les plus dangereuses en corrigeant immédiatement les vulnérabilités critiques et en reportant les vulnérabilités moins urgentes à des cycles ultérieurs. Cette innovation vise à améliorer la protection des utilisateurs et à simplifier la gestion des mises à jour pour les fabricants de smartphones. Google publie actuellement un bulletin de sécurité mensuel (un rapport, en quelque sorte) qui recense des dizaines de correctifs pour les vulnérabilités découvertes dans le système Android. Ces correctifs sont divisés en deux niveaux – un niveau basique et un niveau plus complet – et distribués aux fabricants de smartphones, qui les intègrent ensuite à leurs propres mises à jour système. Le modèle mensuel présente cependant deux limites évidentes : d'une part, il crée une fenêtre d'exposition qui peut durer des semaines entre la découverte d'une faille et sa correction, et d'autre part, il se heurte à la fragmentation de l'écosystème Android , ce qui ralentit la diffusion des correctifs sur les appareils existants.

Avec cette nouvelle approche, Google passera d'un système de correctifs cumulatifs et rythmés à un système dynamique , où la gravité de la vulnérabilité est le facteur déterminant . Les vulnérabilités les plus critiques bénéficieront d'un correctif immédiat, sans attendre le cycle mensuel, tandis que celles à faible risque pourront être incluses dans les mises à jour ultérieures. Cela réduira considérablement les temps d'exposition aux attaques les plus dangereuses. Parallèlement, les fournisseurs bénéficieront d'une charge de travail plus équilibrée, car ils ne seront pas contraints de déployer de gros packages de correctifs dans une solution unique, mais pourront gérer la distribution des correctifs de manière plus modulaire. La décision de Google répond à la nécessité d' accroître la réactivité face aux menaces les plus dangereuses et de simplifier la distribution des mises à jour dans un écosystème complexe comme Android. Les bulletins mensuels se sont avérés trop lents à traiter les failles critiques, qui peuvent être exploitées immédiatement après leur découverte.

Pour les utilisateurs, ce modèle devrait se traduire par des mises à jour de sécurité plus rapides et plus fréquentes , avec un risque réduit d'exposition à des vulnérabilités graves. Pour les fabricants, cela signifie pouvoir intégrer des correctifs ciblés au lieu de gérer des packages volumineux à chaque fois, avec des avantages potentiels en termes de rapidité de déploiement sur les smartphones.