Ces informations sont destinées aux développeurs d'applications incluant des liens statiques vers une version d'OpenSSL antérieure à la version 1.0.2f/1.0.1r. Ces versions présentent des failles de sécurité. Veuillez migrer votre ou vos applications dès que possible vers OpenSSL 1.0.2f/1.0.1r ou version ultérieure, et modifier en conséquence le numéro de version du fichier APK mis à jour.
Que se passe-t-il ?
Depuis le 11 juillet 2016, Google Play bloque la publication des nouvelles applications et mises à jour faisant appel à d'anciennes versions d'OpenSSL. Veuillez consulter la notification dans votre console Play. Passé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.
Action requise
- Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
- Mettez à jour votre application pour qu'elle utilise OpenSSL 1.0.2f/1.0.1r ou version ultérieure et modifiez le numéro de version.
- Envoyez les versions mises à jour des applications concernées.
Informations supplémentaires
Les failles ont été résolues dans OpenSSL 1.0.2f/1.0.1r. Les dernières versions d'OpenSSL peuvent être téléchargées sur cette page. Pour vérifier votre version d'OpenSSL, vous pouvez exécuter une commande grep : ($ unzip -p VotreAppli.apk | strings | grep "OpenSSL").
Si vous avez recours à une bibliothèque tierce qui inclut OpenSSL, vous devrez la mettre à jour pour utiliser une version qui inclut OpenSSL 1.0.2f/1.0.1r ou version ultérieure.
Ces anciennes versions incluent les failles logjam et CVE-2015-3194. L'attaque Logjam permet à un pirate de type "homme du milieu" de rétablir une version antérieure d'une connexion TLS vulnérable, de sorte qu'elle utilise un chiffrement d'exportation à 512 bits. Le pirate peut alors lire et modifier toutes les données transmises via cette connexion. Des informations détaillées concernant d'autres failles sont disponibles sur cette page. Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site Stack Overflow en utilisant les tags "android-security" et "OpenSSL".
Ces problèmes n'affectent peut-être pas toutes les applications utilisant des versions d'OpenSSL antérieures à la version 1.0.2f/1.0.1r. Toutefois, il reste préférable d'appliquer les derniers correctifs de sécurité. Nous pouvons considérer que les applications qui présentent des failles risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).
Avant de publier des applications, vérifiez qu'elles respectent le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu.
Nous sommes là pour vous aider
Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.