Corriger les failles OpenSSL dans vos applications

Ces informations sont destinées aux développeurs d'applications incluant des liens statiques vers une version d'OpenSSL antérieure à la version 1.0.2f/1.0.1r.  Ces versions présentent des failles de sécurité. Veuillez migrer votre ou vos applications dès que possible vers OpenSSL 1.0.2f/1.0.1r ou version ultérieure, et modifier en conséquence le numéro de version du fichier APK mis à jour.

Que se passe-t-il ?

Depuis le 11 juillet 2016, Google Play bloque la publication des nouvelles applications et mises à jour faisant appel à d'anciennes versions d'OpenSSL. Veuillez consulter la notification dans votre console PlayPassé les délais indiqués dans la console Play, toutes les applications présentant des failles de sécurité non résolues pourront être supprimées de Google Play.

Action requise

  1. Connectez-vous à la console Play et accédez à la section "Alertes" pour savoir quelles sont les applications concernées et connaître les délais à respecter pour résoudre ces problèmes.
  2. Mettez à jour votre application pour qu'elle utilise OpenSSL 1.0.2f/1.0.1r ou version ultérieure et modifiez le numéro de version.
  3. Envoyez les versions mises à jour des applications concernées.

Informations supplémentaires

Les failles ont été résolues dans OpenSSL 1.0.2f/1.0.1r. Les dernières versions d'OpenSSL peuvent être téléchargées sur cette page. Pour vérifier votre version d'OpenSSL, vous pouvez exécuter une commande grep : ($ unzip -p VotreAppli.apk | strings | grep "OpenSSL").

Si vous avez recours à une bibliothèque tierce qui inclut OpenSSL, vous devrez la mettre à jour pour utiliser une version qui inclut OpenSSL 1.0.2f/1.0.1r ou version ultérieure.

Ces anciennes versions incluent les failles logjam et CVE-2015-3194. L'attaque Logjam permet à un pirate de type "homme du milieu" de rétablir une version antérieure d'une connexion TLS vulnérable, de sorte qu'elle utilise un chiffrement d'exportation à 512 bits. Le pirate peut alors lire et modifier toutes les données transmises via cette connexion. Des informations détaillées concernant d'autres failles sont disponibles sur cette page. Si vous avez d'autres questions techniques, vous pouvez publier un message sur le site Stack Overflow en utilisant les tags "android-security" et "OpenSSL".

Ces problèmes n'affectent peut-être pas toutes les applications utilisant des versions d'OpenSSL antérieures à la version 1.0.2f/1.0.1r. Toutefois, il reste préférable d'appliquer les derniers correctifs de sécurité. Nous pouvons considérer que les applications qui présentent des failles risquant de compromettre la sécurité des utilisateurs ne respectent pas nos règles relatives au comportement malveillant ni la section 4.4 du contrat relatif à la distribution (pour les développeurs).

Avant de publier des applications, vérifiez qu'elles respectent le Contrat relatif à la distribution (pour les développeurs) et le Règlement relatif au contenu

Nous sommes là pour vous aider

Si vous avez des questions techniques sur cette faille, vous pouvez publier un message sur le site Stack Overflow en utilisant le tag "android-security". Si vous souhaitez obtenir des éclaircissements sur les étapes à suivre pour résoudre ce problème, vous pouvez contacter notre équipe d'assistance pour les développeurs.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
false
Menu principal
10715025364441540466
true
Rechercher dans le centre d'aide
true
true
true
true
true
5016068
false
false