QuadRooter plus tôt en 2016 ou Gooligan plus récemment, les nouvelles sont pleines de rapports faisant état de terrifiantes vulnérabilités de sécurité Android. Souvent, ils sont mis en lumière par des sociétés de sécurité proposant un produit à vendre et dépassés de loin par la presse grand public.
Une telle recherche est un travail important effectué par des personnes très intelligentes. Mais ne vous y méprenez pas, l’objectif est de créer de la publicité et (éventuellement) de vous vendre un logiciel de sécurité. C'est pourquoi les nouvelles versions d'Android sont accompagnées de surnoms accrocheurs et parfois même de logos - en particulier à l'époque des grandes conférences de hackers telles que Defcon et Black Hat. C'est une belle histoire préemballée qui attirera sûrement l'attention, facilement transformée en titres tels que "Méfiez-vous des utilisateurs d'Android: plus de 900 MILLIONS de smartphones sont vulnérables à ce piratage paralysant". (C'était d'ailleurs le tabloïd britannique The Mirror sur QuadRooter.)
Cela semble effrayant, mais il est dans l’intérêt de ceux qui font la divulgation (et, soyons honnêtes, des médias en ligne qui ont l’air de cliquer), de faire signe de la main et de le faire paraître aussi mauvais que possible.
Il existe de nombreux types de vulnérabilités logicielles, et il est presque impossible de garantir qu'un logiciel élémentaire est totalement sans défaut - en particulier dans un objet aussi complexe qu'un smartphone. Mais concentrons-nous sur les logiciels malveillants basés sur les applications, car c'est le vecteur d'attaque le plus courant. Le moyen le plus simple pour les personnes mal intentionnées de faire du mal à votre téléphone ou à vos données consiste à vous installer une application malveillante. L'application peut ensuite utiliser les vulnérabilités du système d'exploitation pour prendre en charge votre appareil, voler vos données, vous coûter de l'argent ou autre.
Lorsqu'une vulnérabilité de sécurité survient sur iOS, Apple publie une mise à jour logicielle et celle-ci est corrigée. En raison du contrôle total qu'Apple a sur l'iPhone, les appareils sont corrigés assez rapidement et tout va bien.
Sur l'iPhone, tout ce qui compte vit dans le système d'exploitation. Sur Android, il est partagé entre l'OS et les services de lecture.
Sur Android, ce n'est pas si simple. Google ne met pas à jour le micrologiciel directement sur le milliard de téléphones Android et, de ce fait, seule une poignée d'entre eux utilise la dernière version du système d'exploitation. Mais cela ne signifie pas qu'ils doivent passer à côté de nouvelles fonctionnalités, API et protection contre les programmes malveillants.
Google Play Services est une application système qui est mise à jour en arrière-plan par Google sur tous les téléphones Android depuis la version 2010 de Gingerbread. En plus de fournir des API permettant aux développeurs d’interagir avec les services Google et de réintégrer de nombreuses fonctionnalités dans des versions antérieures d’Android, Play Services joue un rôle important dans la sécurité Android.
La fonctionnalité "Vérifier les applications" de Play Services constitue le pare-feu de Google contre les logiciels malveillants basés sur les applications. Il a été introduit en 2012 et a été activé pour la première fois par défaut dans Android 4.2 Jelly Bean. Au moment de la rédaction de ce manuel, 92, 4% des appareils Android actifs exécutent la version 4.2 ou ultérieure, et les versions antérieures peuvent l'activer manuellement dans l'application Paramètres Google.
Verify Apps fonctionne de la même manière qu'un scanner de virus PC traditionnel: chaque fois que l'utilisateur installe une application, Verify Apps recherche les codes malveillants et les exploits connus. S'ils sont présents, l'application est immédiatement bloquée - un message s'affiche indiquant "L'installation a été bloquée". Dans d'autres cas moins suspects, un message d'avertissement peut s'afficher à la place, avec la possibilité d'installer de toute façon. (Et vérifier que les applications peuvent également aider à supprimer les logiciels malveillants connus déjà installés.)
Bien que l'exploit sous-jacent puisse encore exister, il est impossible pour les criminels de tirer parti des vulnérabilités une fois qu'ils ont été révélés. Avec Play Services, qui met à jour en permanence l’arrière-plan de l’ensemble de la base d'utilisateurs de Google Android, dès qu'une vulnérabilité majeure est signalée à Google (souvent avant que le public n'en ait entendu parler), elle est corrigée via Verify Apps.
Verify Apps est une dernière ligne de défense, mais elle est très efficace.
Bien que la méthode soit différente de celle d’iOS, le résultat est identique. Le détenteur de la plate-forme met à jour sa sécurité (Apple via une mise à jour de système d'exploitation, Google via Play Services) et les utilisateurs sont protégés. Vous pouvez discuter toute la journée pour savoir lequel est le meilleur ou le plus robuste, mais le fait que nous n'ayons pas encore vu le scénario prédit comme Android indique que la méthode de Google fonctionne plutôt bien. Cela ne veut pas dire que d'autres étapes telles que les correctifs de sécurité mensuels de Google ne sont pas importantes. Bien que Verify Apps soit une dernière ligne de défense, elle est très efficace.
Faisons un pas en arrière encore plus loin - pour arriver même au point d'installer une application malveillante, l'utilisateur aurait dû désactiver la case à cocher "sources inconnues" pour permettre l'installation d'applications provenant de l'extérieur du Google Play Store. Pour la plupart des gens, ce n'est pas quelque chose qu'ils font jamais. Les applications viennent du Play Store, et c'est tout. Google contrôle et gère les applications sur le Play Store, et recherche en permanence des applications néfastes. Si vous n'installez que des applications à partir de là, généralement, ça va.
Des rapports à bout de souffle mentionnant des centaines de millions d'appareils Android vulnérables n'en parlent pas, bien sûr. Dans le cas des vulnérabilités QuadRooter, par exemple, si vous utilisez une version affectée d'Android, vous devez d'abord désactiver la case à cocher "sources inconnues", puis accéder à Paramètres Google> Sécurité et désactiver l'analyse des applications. Ensuite, si vous décidiez de télécharger et d’installer une application infectée depuis un mauvais coin d’Internet, vous en seriez affecté. Ce ne sont pas des étapes que la plupart des gens prennent, ni des choses qui arriveront de leur propre chef.
C'est l'équivalent numérique de maintenir votre porte ouverte, de jeter vos clés dans l'allée et d'ériger un gros panneau sur votre pelouse avec la mention "Des objets gratuits à l'intérieur, entrez."
Cela ne veut pas dire qu'il n'y a pas eu un ou deux véritables problèmes de sécurité Android au cours des dernières années. Le pire à ce jour a été Stagefright, qui a amené Google à mettre en place son régime de correctifs de sécurité mensuels. Stagefright était particulièrement dommageable car il pouvait affecter les téléphones simplement en lisant des fichiers multimédias. Il y a une grande différence entre cela et les logiciels malveillants sous la forme d'une application à installer.
Les protections de sécurité existantes d'Android protègent déjà la grande majorité des utilisateurs, même s'ils ne disposent pas de la version la plus récente, sous la forme d'un APK.
Donc, ces rapports sur des centaines de millions d'appareils Android étant "vulnérables" à ceci ou à cela? En théorie, si vous faites tout votre possible pour désactiver toutes les sauvegardes intégrées d'Android, bien sûr. Dans le monde réel, pas tellement.
