À quel point votre Android est-il vulnérable ?

À quel point votre Android est-il vulnérable ?

La plateforme Android est le système d’exploitation le plus utilisé pour les smartphones, représentant 60% du marché mondial, et près de 50% des parts de marché en Suisse.

Depuis quelque temps, malgré sa puissance, la plateforme Android apparaît régulièrement dans les médias, dû à ses vulnérabilités impactant la majorité de ses utilisateurs, et dont aucun distributeur n’en prend la responsabilité.  

L’ordinateur devant d’être accompagné de systèmes de sécurité réguliers, pourquoi il n’en serait pas de même pour le smartphone ?

Un smartphone n’est finalement qu’un ordinateur miniature avec un système d’exploitation, des applications et des vulnérabilités. Lorsque l’on achète un smartphone, on considère que l’appareil est un produit prêt à l’emploi et qui n’a en aucun cas la nécessité d’évoluer. À cette idée, nous répondrons que tel un ordinateur, le smartphone doit être pris en charge pour un fonctionnement optimal et sécurisé.

Depuis le début de l’année, la principale association de défense de consommateurs aux Pays-Bas se bat contre les constructeurs distribuant des appareils Android, sans se préoccuper du niveau de sécurité. L’association recherche à obtenir l’assurance que les appareils seront sécurisés et protégés, grâce aux mises à jour régulières, ce qui permettra ainsi de contrer les vulnérabilités et les problèmes de sécurité. Les mises à jour n’étant jamais évoquées lors de l’achat, elle réclame aussi une sensibilisation quant aux supports. 

Pourquoi ?

La principale raison pour laquelle tant de nombreux appareils Android restent vulnérables après la découverte d’un patch, est que les opérateurs et les fabricants de dispositifs contrôlent le processus de mise à jour de sécurité pour les utilisateurs d’Android. Google pousse des correctifs mensuels de sécurité pour Android, depuis début 2016, Google en a publié plus de 120. On peut citer l’exemple de la correction d’un bug permettant à une personne tierce de prendre le contrôle complet de votre smartphone rien qu’avec un MMS. Après la publication, les intermédiaires ont la responsabilité de distribuer les correctifs aux utilisateurs finaux, mais trop souvent, les opérateurs ou les constructeurs ne veulent pas investir de ressources dans la maintenance d’anciens modèles pour lesquels ils ne se font plus d’argent ; et s’ils décident d’appliquer le correctif produit par Google, cela peut encore prendre des mois de tests et de validation.

En quoi est-ce un problème ?

Lorsque des chercheurs trouvent des vulnérabilités dans une application, ils ont le devoir moral de l’annoncer à l’éditeur du logiciel. De cette manière, il peut corriger ces failles avant qu’elles ne soient publiées (en général, le chercheur laisse 90 jours pour « patcher » les vulnérabilités). 

Une fois la recherche publiée sur internet, les hackeurs vont s’empresser d’exploiter les vulnérabilités sur des systèmes qui n’ont pas encore appliqué le correctif. Autrement dit, si votre appareil n’est jamais mis à jour, il est très vulnérable aux attaques. Et quand l’on pense aux divers secrets que renferme un téléphone : mails, contacts, agenda, positions géographiques, photographies, mots de passe, etc., les hackeurs obtiennent ainsi un accès illimité à notre vie privée. Sans compter que le smartphone est très souvent utilisé pour consulter ses comptes bancaires en ligne et qu’il permet de vérifier l’authenticité des personnes avec une procédure sécurisée, par exemple, SecureSign pour le Crédit Suisse, CrontoSign pour la BCGE, Google Auth pour de nombreuses applications (lien sur le blog), ou encore le SMS.

Une application ne peut pas être sécurisée, si les fondations du système d’exploitation ne le sont pas.

Un smartphone vulnérable risque de compromettre toutes les activités qui lui sont liées. Même si vous utilisez Whatsapp avec du cryptage bout à bout, un hackeur peut exploiter une vulnérabilité pour installer un keylogger, pouvant ainsi intercepter vos messages en toute simplicité. 
Une application de confinement ou de bac à sable pour smartphone (tel que Good), fonctionne très bien, mais ne reste qu’une application sécurisée sur une plateforme vulnérable. Un malware installé sur la partie hôte de l’OS pourrait, sans trop de problèmes, interagir et intercepter des informations entrées sur une application, même très sécurisée.

Nos recommandations ?

Nous recommandations de base sont : de faire attention aux applications installées, de filtrer les connexions entrantes et sortantes de l’appareil, et de configurer son appareil correctement. 
Nos conseils pour avoir un système (Android) correctement protégé sont de prendre un appareil de la marque Nexus (dont les mises à jour sont directement gérées par Google sans intermédiaire), ou d’installer CyanogenMod sur votre appareil.

On ne peut qu’espérer que les consommateurs se sensibilisent, et se protègent mieux à l’avenir. 

La protection des smartphones va du choix de l’appareil, aux applications autorisées, en passant par la gestion des configurations. Si vous désirez sécuriser votre smartphone, ZENData est là pour vous conseiller et installer les solutions qui vous sont adaptées. Nous proposons aussi des formations sur mesure pour sensibiliser votre équipe, très souvent bénéfiques à l’entreprise, car une personne avertie évitera les erreurs informatiques simples et saura réagir en cas de problème.

Tweets de ZENData

Les mots de passe : tout le monde les connait et tout le monde les déteste ! Découvrez comment ils se font hacker… https://t.co/aAFsPmFn6Y
RT @RobertMLee: If Kaspersky software is “confirmed as malicious” (EU Parliament) I would hope there would be some public evidence present…
RT @nxsolle: My colleague Pasi and I will show everyone how to unlock BitLocker on modern PCs at SEC-T in September. Cold Boot attacks made…
RT @Anouch: Certes, le RGPD semble être une usine à gaz. Mais il va accroître la protection des internautes. Manifestement, @nantermod n’y…
RT @lorenzoFB: New: Apple put USB Restricted Mode in both iOS 11.4.1 beta and iOS 12 beta. And now it's triggered after 1 HOUR of phone not…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

13+11=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.