Google prolongera sa prise en charge pour le cœur Linux pour garder la sécurité pour les appareils Android plus longtemps

JAKARTA - Google s’est engagé à prolonger la période de prise en charge de son cœur de Linux pour quatre ans, à partir de la version du cœur 6.6. Cette décision a été prise après que le projet de cœur Linux a résilié ses engagements en support de six ans pour la sortie du LTS (Support à long terme) et l’a réduit à deux ans. Ce changement est très important pour la sécurité des appareils Android, qui utilisent le cœur Linux et nécessite des mises à jour périodiques pour accepter des améliorations de sécurité.

Le cœur Linux utilisé sur la plupart des appareils Android provient de la succursale Android Command Kernel (ACK) de Google. La branche ACK est fabriquée à partir de la branche principale du cœur Android chaque fois qu’une nouvelle sortie LTS est annoncée. Par exemple, la branche ACK Android15-6.6 a été créée après l’annonce de la dernière version LTS, avec « Android15 » se référant à la sortie Android liée au cœur (dans ce cas, Android 15).

Google a trois principales raisons de maintenir le fork de chaque sortie du cœur LTS Linux. Premièrement, ce fork peut contenir des porte-parole et des points de cherry de la fonctionnalité upstream nécessaires pour les fonctionnalités Android. Deuxièmement, ils peuvent livrer des fonctionnalités prêtes pour les appareils Android même quand ils sont en développement en upstream. Enfin, ils peuvent inclure certaines fonctionnalités fournisseurs ou OEM utiles pour d’autres partenaires Android.

Une fois créé, ACK est continuellement mis à jour par Google pour recevoir des améliorations de bug pour un code spécifique pour Android et des jumelles LTS de la succursale du cœur upstream. Les vulnérabilités affectant le cœur Linux révélé dans le bulletin de sécurité Android mensuel, comme indiqué dans le bulletin de juillet 2024, ont été surmontées grâce à cette mise à jour.

Cependant, il n’est pas toujours possible d’identifier quand la réparation du bug est une amélioration de sécurité, car les clés pour corriger le bug peuvent également combler des lacunes de sécurité qui ne sont pas réalisées ou non divulguées par l’émetteur de clés.

Google essaie d’identifier ces cas quand ils se produisent, mais il est peu probable de tout capturer, provoquant une situation où les améliorations sont tombées dans l’ampleur de Linux depuis des mois avant d’atteindre les appareils Android. C’est pourquoi Google encourage les OEM Android à effectuer régulièrement des mises à jour LTS afin de ne pas être piégées par la divulgation de fragilités de sécurité étonnantes.

Le cœur LTS de Linux est très important pour la sécurité des appareils Android, car il aide Google et l’OEM à surmonter des vulnérabilités de sécurité connues et inconnues. Plus le temps de la prise en charge du cœur LTS est long, plus Google et l’OEM peuvent garder leurs appareils à jour avec des améliorations de sécurité.

Cependant, cette période de prise en charge plus longue place une pression majeure sur les développeurs et les entretiens du cœur Linux, dont beaucoup sont des volontaires non payés. Si vous excluez Android et des appareils intégrés, pas beaucoup d’appareils exécutent des versions plus anciennes de Linux.

Les tenteurs de Linux ont décidé que la période de support de six ans pour la sortie du cœur LTS n’était plus sensée pour eux, alors ils ont décidé de le réduire à deux ans plus tard. Le changement a été annoncé au début de 2023, laissant de nombreux observateurs se demandant ce qu’il signifiait pour le monde Android. Certains pensent qu’il forcerait l’OEM à commencer finalement à mettre à jour la version principal du cœur, tandis que d’autres croient que Google ou le fournisseur de silicon prolongera leurs propres LTS.

C’est ce que Google a fait ce dernier. Sur la page de développeur pour ACK, Google a écrit que « à partir du cœur 6,6, la période de prise en charge pour le cœur stable est de 4 ans ». Cela a été précédé par une déclaration disant que « le blocage peut être pris en charge plus longtemps que le cœur stable upstream approprié sur kernel.org. Dans ce cas, Google fournit un support prolongé jusqu’à la date de fin d’expiration (EOL) indiquée dans cette section ». Lorsque le cœur atteint EOL, ils ne sont plus pris en charge par Google, mais encore plus important, « les appareils qui les courent sont considérés comme vulnérables ».

La période de six ans du cycle LTS Linux précédemment permettait aux OEM Android de déployer un, deux, voire trois ans des appareils en cycle et bénéficiaient toujours d’un support upstream de plusieurs années.

Cependant, parce que Google n’a pris en charge que la nouvelle branche d’ACK depuis quatre ans, l’OEM ne peut plus le faire. C’est pourquoi, à partir d’Android 15, les appareils ne peuvent être déployés que avec le cœur Android14-6.1 ou Android15-6.6, qui sont les deux dernières versions du cœur. Le premier sera pris en charge jusqu’en juillet 2029 tandis que le dernier sera en charge jusqu’en juillet 2028, de sorte que l’appareil peut être lancé avec eux cette année et reçoit encore trois à cinq ans de soutien avant qu’ils n’aient besoin d’augmenter leurs nuages.

Google a déclaré qu’il y aura une nouvelle branche d’ACK pour chaque sortie du cœur, de sorte qu’il n’y a pas de branche pour Android15-6.1. Cela simplifie tout, mais en fin de compte, l’OEM devrait commencer à mettre à niveau la version principale du cœur s’il s’engage à des politiques de mise à jour des téléphones plus anciens.