La sécurité des smartphones Android ? Elle n’a rien à envier à l’iPhone
21
Mar
Des années durant pointé du doigt pour sa sécurité, Android n’a plus à rougir. C’est du moins la position défendue par Google, selon qui les smartphones Android sont désormais aussi difficiles à pirater que les iPhone. Google tient à le faire savoir des consommateurs.
Dans la liste des principales failles de sécurité susceptibles de permettre à des pirates de compromettre des smartphones, un nom revient souvent : Android.
En 2015, nous apprenions que le système d’exploitation de Google pour smartphones et tablettes était vulnérable au bug StageFright, que les pirates pouvaient exploiter simplement en envoyant un message texte. En 2016, des chercheurs en sécurité révélaient que des millions de téléphones Android étaient infectés par un logiciel malveillant baptisé HummingBad. Sa particularité : il permettait aux cybercriminels de générer des revenus publicitaires fictifs. En 2017, des documents révélés par Wikileaks montraient que la CIA avait développé des logiciels malveillants pour les téléphones Android.
Selon David Kleidermacher, responsable de la sécurité Android, Google Play et du système d’exploitation Chrome depuis le mois de mai, l’équipe Android travaille dur pour que les inquiétudes découlant de ces bugs appartiennent au passé.
Pour Kleidermacher, qui s’abstient de nommer quiconque, Android est désormais aussi sûr que la concurrence. Ce n’est pas une mince revendication, le principal concurrent d’Android étant l’iPhone d’Apple sous iOS.
Cette idée audacieuse imprègne le rapport annuel de sécurité d’Android publié jeudi par Google. « La sécurité d’Android a fait un bond en avant en 2017 et beaucoup de nos protections sont à présent en tête de l’industrie » revendique le rapport dès la première page.
Faisant écho au document, Kleidermacher déclare à CNET que les failles d’Android sont devenues plus difficiles à trouver pour les chercheurs et que l’OS protège désormais si bien les utilisateurs contre les logiciels malveillants que les problèmes qui les exposaient autrefois aux actions des cybercriminels ont perdu en importance.
Protections d’Android
Depuis des années, Google combat le sentiment que les smartphones Android sont difficiles à protéger des pirates. Cela s’explique par la complexité à corriger les failles d’Android et à la facilité avec laquelle des applications malveillantes peuvent être téléchargées sur ces terminaux.
Lorsqu’une vulnérabilité majeure d’Android est identifiée, la firme doit fournir une mise à jour aux fabricants de smartphones Android. Ceux-ci doivent ensuite adapter le correctif et le diffuser auprès de leurs clients. Les opérateurs sont un autre maillon de la chaîne. Ces opérations de sécurité peuvent par conséquent nécessiter beaucoup de temps, voire ne jamais aboutir.
Les utilisateurs d’Android peuvent en outre s’exposer par eux-mêmes à des menaces, en particulier en téléchargeant des applications malveillantes sans le vouloir. Contrairement à iOS d’Apple, ils ne sont pas contraints de choisir des applications sur le Google Play Store, même si ce paramètre est activé par défaut.
Apple n’est confronté à aucun de ces problèmes. Il peut fournir des mises à jour de sécurité directement sur les iPhone et empêche donc les utilisateurs de se procurer des applications hors de son App Store.
Mais Android ne s’oriente pas vers le modèle Apple. L’alternative, selon Kleidermacher, pour remédier à ces problèmes consiste à « réajuster » la sécurité des téléphones Android. En d’autres termes, même si Android n’a pas été conçu à l’origine avec comme priorité la sécurité, celle-ci peut aujourd’hui y être intégrée.
Des progrès en sécurité
Comment Google peut-il affirmer qu’Android est devenu plus sûr ? L’argent. Le géant de Mountain View rémunère désormais mieux les chercheurs indépendants pour chacune des failles qu’ils découvrent. Pourquoi ? Car il est aujourd’hui plus difficile qu’auparavant de détecter des vulnérabilités.
« Au fur et à mesure que la sécurité d’Android a mûri, il est devenu plus difficile et plus coûteux pour les pirates de trouver des exploits dont le niveau de gravité est élevé » indique le rapport.
En d’autres termes, les failles les plus évidentes ne sont plus à portée de main. Cela s’est reflété dans les résultats d’un événement majeur du domaine du piratage de smartphones, le Mobile Pwn2Own. En 2017, les hackers ne sont pas parvenus à empocher la récompense pour des vulnérabilités du cœur d’Android.
Kleidermacher attribue ce bilan à la puissance du code open-source, une pensée qui se retrouve dans le rapport consacré à la sécurité du système mobile.
« En tant que projet open-source mondial, Android a mis en place une communauté de défenseurs qui repèrent de manière collaborative les vulnérabilités les plus profondes et développent des mesures d’atténuation » souligne le rapport. « Cette communauté peut être plus grande et plus efficace qu’un projet au code propriétaire d’une taille équivalente. »
Hasard sans doute, iOS d’Apple est justement un projet au code source fermé.
Pour lire l’intégralité de l’article depuis sa source, cliquez sur ce lien
