Le blog high-tech & telecom de Xavier Studer

Virus sur smartphones: menace ou dérive boulevardière?

Google soigne la sécurité d'Android. Du moins sur ses publicités.

Google soigne la sécurité d’Android. Du moins sur ses publicités.

Le traitement parfois boulevardier de l’information contamine malheureusement de plus en plus les nouvelles technologies. A en croire certains pamphlets, on à l’impression que le système Android est truffé de virus. J’ai même entendu le chiffre de 500’000 virus en circulation alors que le Google Play Store compte environ un million d’applications…

Faut-il croire ces concentrés de slogans alarmistes qui prennent pour argent comptant la propagande des fabricants d’antivirus? Le minimum est au moins de confronter les dires d’une industrie qui a tout intérêt à faire peur à la propagande des concepteurs d’Android, le système de Google.  Soudain la perception de la situation devient beaucoup plus nuancée… Incroyable, non?

Propagande contre propagande

Commençons par la publicité des laboratoires Kaspersky Labs que nous avons déjà disséquée ici. Lorsqu’on dépasse la lecture du communiqué de presse, on réalise que la menace ne semble pas venir directement du marché officiel Google Play, mais d’autres horizons, comme expliqué sur cette page mise en lien par l’éditeur…

On réalise alors, lorsqu’on se documente, que le danger provient essentiellement des marchés tiers d’applications, notamment en Asie. Du coup, le message est beaucoup moins alarmant. On peut même se demander si le consommateur sous nos latitudes peut être concerné par la titraille indélicate de certaines marques puisqu’ils ne s’exposeront jamais à ces dangers.

La surveillance de Google

En effet, chez Google on souligne que les mesures de sécurité sur Android sont de plus en plus sophistiquées comme il est expliqué dans ce document fruit du travail d’Adrian Ludwig, un des ingénieurs en charge de la sécurité d’Android. Rappelons que le Google Play Store est scanné en permanence à la recherche d’éventuelles menaces, selon les réclames de Mountain View.

En lisant cette documentation, on apprend que 95% des terminaux Android sont désormais équipés d’un système de détection des virus directement intégré au système. Par ailleurs, pour les plus craintifs, il est toujours possible d’installer gratuitement un antivirus. Décidément, on est loin des annonces tapageuses qui gangrènent même les plus grands noms de l’information…

Xavier Studer

Sécurité sur Android

Suite à ma demande, voici la réponse que Google m’a transmise après la propagation d’informations pour le moins contestables:

At this week’s RSA conference, Adrian Ludwig–Android’s lead security engineer, is talking about Android’s layered security model and offering clarity in the data in some recent security exploits. Increasing connectivity and open-ness of platforms is leading to greater security, not insecurity. Data is being used intelligently to improve security in near real time through a combination of reliable products and trusted services. We are working to provide better data about actual risk and focus more attention on calming users while protecting them.

Android delivers a layered approach to security, though the Platform, Services and Innovation:

  • Platform security: We built Android’s security model around the principles of the web and an application-focused platform.
    • o Application sandboxing, permissions: The most fundamental of those principles is isolation of applications from one another and from the operating system. Android verifies an application signature and assigns an application sandbox at install time (system services and data have their own sandbox). Application Sandboxes isolate data by running each app as it’s own UID. Inter-process communication (IPC) requires mutual request.
    • o SELinux is another example of platform-level security.
  • Services: Data is being used intelligently to improve security in near real time through a combination of reliable products and trusted services. Those services include:
    • o Google Play: Blocks distribution of potentially harmful apps, maintains relationship with developers, encourages security best practices, provides application updates
    • o Verify Apps: Apps are verified prior to install, warns for or blocks potentially harmful apps, is available on Android 2.3+ with Google Play (nearly all active devices)–now with constant on device warning, and over 20 million installs verified every day
    • o Other services include: Safebrowsing for Chrome, Android Safety Net and Device Manager
  • The last security layer is through fostering security innovation. Add-on security is allowed, but not required, and working together with third party researchers helps all Android users:
    • o Foster security innovation in the platform
    • o Directly support research as well as development
    • o Enable security solutions on top of the platform

Clarity in Data: we are working to provide better data about actual risk and focus more attention on calming users while protecting them.

  • Android security, by the numbers:
    • o 100% of devices have sandboxes and permissions
    • o 95% of devices have Verify Apps
    • o Most devices only install from trusted sources
    • o ~.8% of app installs from unknown sources receive a warning
    • o <0.18% of apps from unknown sources are installed after a warning
    • o <.001% of installed apps attempt to evade runtime defenses
    • o <?% of installed apps evade runtime defenses and cause harm
  • A snapshot of a security vulnerability — MasterKey:
    • o 1 day after Google notified: Google Play secured
    • o <1 month after Google notified: Patch delivered to OHA partners
    • o 1 month after Google notified: Verify apps secured
    • o 1 month before first exploit reported: Devices begin to receive update
    • o Installs from Unknown Sources: <8 in a million
    • o Estimated installs: <1 in a million

 

20 commentaires pour “Virus sur smartphones: menace ou dérive boulevardière?

  1. 07/03/2014 à 7:26

    On en est donc au même point que Windows…..
    Plus tu te protèges avec des Antivirus, plus tu est sujet aux failles de ces derniers…..

  2. rolgui
    07/03/2014 à 7:32

    Plus un système est ouvert à tous les bricolages, plus on a de risques d’être attaqué par des bricoleurs malveillants.
    Windows vs. OSX par exemple.

  3. gregory
    07/03/2014 à 8:58

    Mouais, le plus dérangeant sous Android ce sont les pubs un peu trop intrusives de certaines app. Ou quand Adblock devient tout aussi important qu’un bon antivirus, mais Google ne le voit pas de la même façon

    • 07/03/2014 à 10:47

      Heureusement qu’il y a moyen d’encore télécharger et utiliser Adblock sur les combinés Android, car chez Apple ils vont bientôt commencer les pubs Vidéo plein écran sans pouvoir y échaper sur les applications « free to play » et comme le Store est bien plus restrictif sans possibilité de télécharger ailleurs sans Jalibrack……..
      http://www.macrumors.com/2014/03/05/apple-video-iads/

      • Noisequik
        07/03/2014 à 10:59

        Ah vous ne pensez pas qu’une bonne solution serait de payer les applications de temps en temps ?

        • DavidL
          07/03/2014 à 1:11

          Bof… oui pour soutenir les devs mais bon après on est captif, tel la myriade d’Apple users qui n’osent plus changer car ils ont dépensés des fortunes sur le store, pas pour rien qu’il y a beaucoup de clients soit disant fidèles. Je ne sais pas pourquoi mais je n’ai encore jamais entendu ce problème ailleurs, peut être les clients des concurrents sont moins dépensiers. Chez Apple on est souvent habitués à ouvrir le portefeuille aussi…
          Pour ma part je n’achète jamais d’applis et je me sent libre de changer quand cela me chante et quand la concurrence offre mieux, j’accepte totalement d’avoir un peut de pub si cela reste correct et pas trop intrusif. Un modèle d’avenir qui permet de soutenir les devs sans être prisonniers d’un système monopoliste… ABE

          • ced
            07/03/2014 à 3:31

            Pourquoi payer des applications alors que les versions gratuites suffisent? Surtout quand on utilise rarement certaines applications.
            Et payer une application ne veut pas dire qu’elle d’autant de meilleur qualité.

          • dal
            07/03/2014 à 4:02

            C’est pas pour 2 francs que je me sens prisonnier perso 😉

            Et je pense plutôt que d’une manière très générale, une application aurais plus tendance a nous « emprisonner » quand elle marche par la pub (vu que plus on reste, plus elle se fait du fric) que par un seul versement (où du coup, si en fou le camp tout de suite après avoir payer elle y « gagne »).
            Pour moi la différence d’emprisonnement viendra souvent des possibilités d’import/export de donnée et/ou de compatibilité avec les services tiers.

          • gregory
            07/03/2014 à 6:45

            Ced et DavidL reflètent tellement ces ados qui pensent que tout est gratuit dans la vie que je crois que c’est encore ce qui me répugne le plus autour d’Android. C’est tellement hypocrite de penser que la pub réuménerera le créateur d’une bonne app, seules celles qui cartonnent rémunèrent leur homme. Donc perso c’est un plaisire voire un devoir de payer 2.- par ci par là pour récompenser le bon boulot. Mais bon vous faites sans doute partie de ceux qui ont l’impression d’avoir fait le tour de l’actualité en refermant votre 20 Minutes.

          • ced
            07/03/2014 à 7:17

            Gregory, j’aurai bien aimé vous répondre sérieusement et dans la sérénité ainsi que le sérieux.
            Mais j’ai peur de tout de même bouleverser un moralisateur qui est choqué lorsqu’on ose dire ce que l’on pense, il n’est pas habitué à parler sérieusement et il pense que ce sont nous les moralisateurs et les destructeurs de ce site, alors qu’il détruit chaque article de ce site avec son histoire d’amour avec Apple, il pourrait jouer dans Top Model tellement que sa vie avec Apple est intéressante et touchante. Chaque jour il a de nouvelles nouveautés croustillantes à nous partager. Dommage qu’il ne sache jamais répondre à des questions sérieuses, il préfère se baser sur des histoires répétitifs et inutiles.
            Merci pour votre écoute et votre compréhension.

            Je peux juste vous répondre que je sais très bien que les applications dite gratuites ne le sont pas vraiment, mais je n’ai pas besoin de sortir mon porte feuille pour en avoir et ce ne sont pas 1 ou 2 publicités qui vont me gêner. Vous donnez l’impression que vous avez tout compris à la vie en pensant avoir des applications de qualités en les payants de votre poche, mais je laisse ce débat à Xavier qui saura certainement mieux y répondre en tant que réel connaisseur.

          • 07/03/2014 à 7:33

            Cest vrai qu’on est vendredi, le jour ou Ced ne se tient plus. Faut arreter de boire du Red Bull 😉

          • DavidL
            10/03/2014 à 8:34

            Grégory: j’ai passé l’adolescence depuis un moment et non je ne pense pas que tout est gratuit en ce monde.
            Sachez que certains gagnent des fortunes avec la pub pendant que pour les plus petits cela rembourse l’hébergement ou frais de publication pour des applis qui ne marcheraient de toute façon pas si elles étaient payantes. En générale ces petites apps ne sont faites que par passion ou sur le temps libre. Il n’est donc pas anormal en soi de ne pas en retirer un salaire « complet » car en général quand on dev 40h/sem une app on en retire un bénéfice correct a moins que ce soit un énième clone de calculatrice…
            Il y a d’autres modèles que le payement comptant, comme la publicité, les dons, sponsoring etc… qui marchent tout aussi bien ce n’est pas les exemples qui manquent aujourd’hui.
            Accepteriez vous de devoir payer un abonnement pour ce site ?
            Pourquoi payer alors que certains le font tout aussi bien avec d’autres moyens de financements ?
            Certes tout n’est pas rose et cela soulève d’autres débats mais au moins il y a de la diversité et du choix.

            PS : je suis dev d’une app et je ne lis pas le 20min…

        • i.am.will
          07/03/2014 à 5:16

          Change ton pseudo pour Overdose ou Trollman, pour te mettre à jour.

        • 17/03/2014 à 7:56

          Bonjour Noisequick
          J’aimerais payer mes applications autrement qu’avec de la pub et des achats inapp !
          Exemple Dungeon keeper :
          tout l’intérêt du jeu était de creuser des salles rapidement
          le jeu a été porté sur mobile : il faut payer pour éviter des attentes de 24h sur certains blocs !
          Il y a plein d’autres exemple d’application gratuites que je paierais volontiers quelques francs pour ne pas drainer mon forfait data et ma batterie pour télécharger de la pub.
          Si on ajoute les permissions abusives de certaines applications, on arrive dans un monde où la différence entre malware et application légitime est parfois mince

          Un des nombreux articles soulignant la progression de l’achat inapp
          http://www.itespresso.fr/achats-in-app-levier-croissance-marche-applications-mobiles-68215.html

          Chti Suisse

  4. TerraNova
    07/03/2014 à 1:49

    Je fréquente beaucoup de monde et contrairement aux PC, je n’ai jamais entendu parler de virus ou autre malware qui aurait investi le smartphone ou la tablette d’une conaissance. Ceci ni sur Android, ni sur iOS…

    Pour moi ça reste une sorte de légende, support à de la propagande permettant de dénigrer les uns ou les autres, voir pire, une belle technique de marketing indirect.

  5. Oreille
    07/03/2014 à 3:55

    Merci pour la réponse de Google, instructif à souhait.

  6. i.am.will
    07/03/2014 à 5:17

    0 attaque sur mon Androphone, idem chez mes connaissances

  7. Simon
    08/03/2014 à 8:55

    Autant une compagnie d’anti-virus va publier des chiffres qui peuvent sembler alarmant autant Google ne va pas avouer publiquement qu’il y a des problèmes de sécurité….ce qu’il faudrait c’est un avis indépendant provenant de chercheurs en sécurité ne travaillant ni pour Google ni pour une entreprise d’anti-virus (e.g. chercheur universitaire par example).

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :