L’éternelle question de la sécurité des terminaux Android…

Depuis le début d’Android (il y a 10 ans maintenant), la sécurité a toujours été le talon d’Achille de la plateforme mobile. Le nombre d’intervenants mais aussi peut-être paradoxalement l’ouverture de ce dernier fait que chacun (Editeur, Constructeurs et Opérateurs) écrit ou modifie le code, ajoute des couches et sur-couches rendant alors la structure plus difficile à maintenir et créant une dépendance logique sur chacune des couches. Résultat, lorsqu’un élément doit être corrigé c’est tout l’édifice qui peut devenir bancale.

Capture d’écran 2019-04-06 à 18.25.53Google à très vite compris ce problème, sans pour autant en trouver la solution. Aujourd’hui le système d’exploitation compte non seulement plus de deux milliards d’utilisateurs actifs, mais tout le monde est beaucoup plus critique en ce qui concerne sa confidentialité et sa sécurité dans l’espace numérique. Google  publie depuis cinq ans son rapport « Year in Review« , décrivant en détail comment il protège ses utilisateurs Android. La nouvelle version du rapport vient d’être rendue disponible.

Mais compte tenue de la diversité, surveiller Android et sa sécurité n’est pas une tâche facile. Google détecte notamment les applications potentiellement néfastes (PHAs). Google maitrise le Play Store (Le magasin applicatif) et parvient tant bien que mal à écarter les applications suspectes (seulement 0,08% des appareils utilisant exclusivement le Play Store pour installer des applications aurait été infectées par une ou plusieurs PHA). Le problème reste la possibilité d’utiliser des applications venant de sources externes où le taux d’infection serait huit fois plus élevé pour atteindre donc 0,68%.

Capture d’écran 2019-04-06 à 18.32.42Mais ce rapport est un arbre qui cache un peu la foret, car le véritable problème reste que les constructeurs se se précipitent pas pour appliquer les correctifs ou simplement mettre à jour le système. Y compris sur des modèles récents. Là encore Google est bien conscient du problème. Afin d’accélérer le processus de mise à jour, le Project Treble a été introduit dans les versions les plus récentes d’Android, (nous vous en parlions il y a deux ans lors d’un Briefing Calipia), ceci aurait permis d’après Google aux entreprises de publier des mises à jour plus rapidement. Le rapport indique « qu’au quatrième trimestre de 2018, 84% de périphériques supplémentaires bénéficiaient d’une sécurité. mise à jour par rapport au même trimestre l’année précédente « .

Mais Google indique aussi qu’en 2018 même les nouveaux produits Android pouvaient présenter des vulnérabilités dès l’origine. Google a lancé une suite dite « de tests de construction (BTS) » avec des équipementiers afin de lutter contre ce problème, leur permettant de soumettre des images qu’ils souhaitent installer sur leur modèles afin de détecter les problèmes de sécurité et les éventuelles PHA avant leur envoi aux utilisateurs.

Avec le programme Android Entreprise lancé en février 2018, Google compte bien aussi obliger les constructeurs qui y adhèrent de réaliser ces mises à jours au moins pour 2 ans. Mais encore faut-il que tout le monde y adhère et pour tout les modèles vendus. Ce qui est loin d’être le cas, lorsque l’on voit aussi que le principal constructeur, Samsung, ignore ce programme…

Nous reviendrons sur ces éléments lors du prochain Briefing Calipia avec une session dédiée au passage d’iOS à Android. N’hésitez pas à vous joindre à nous.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.