87 % des smartphones Android ne sont pas sécurisés

Des scientifiques britanniques ont montré que les appareils Android sont très dangereux pour vous et vos données. Ce n’est pas une blague. Des chercheurs de l’université de Cambridge ont mené une étude sérieuse sur ces appareils : ils ont analysé plus de 20 000 smartphones, de différents distributeurs, pour découvrir que 87,7 % des appareils Android sont exposés à au moins une vulnérabilité grave.

Ce résultat effrayant est apparu dans une étude dont l’objectif consistait à déterminer les appareils les plus sécurisés (en fonction des distributeurs).

L’expérience s’est déroulée avec la contribution des utilisateurs ordinaires et de leurs smartphones ordinaires : les participants ont accepté d’installer une application spéciale nommée Device Analyzer depuis Google Play. L’application a permis de déterminer le niveau de sécurité des appareils face aux attaques les plus fréquentes. Pour ce faire, elle a envoyé des données aux chercheurs sur les versions de software installées sur les appareils.

Toutes les vulnérabilités n’ont pas été prises en compte : les chercheurs se sont intéressés seulement à celles qui pouvaient être exploitées complétement hors-ligne. Il y avait 32 vulnérabilités, mais seules 11 pouvaient s’appliquer à tous les appareils participants et ont donc été considérées pendant l’expérience pour obtenir des résultats fiables.

Comment s’expliquent ces différences de niveaux de sécurité entre les distributeurs ? Tout d’abord, cela dépend si la version OS est à jour : Google, Linux Foundation et d’autres développeurs Android importants publient régulièrement des mises à jour, qui comportent notamment des patchs de sécurité pour les vulnérabilités connues.

Le problème, c’est que la plupart des appareils Android doivent attendre pour obtenir ces mises à jour ; le processus n’est pas aussi rapide qu’il devrait l’être. Ce n’est pas Google qui envoie les mises à jour OTA, ce sont maintenant les distributeurs OEM qui s’occupent de cette tâche. Par conséquent, les mises à jour sont diffusées aussi rapidement qu’aiment le faire les distributeurs, c’est-à-dire « pas vite du tout ».

1 Billion #Android devices vulnerable to #NEW Stagefright flaws… #nopatches https://t.co/1Wt8iqOY2b via @threatpost pic.twitter.com/LJUuODPDra

— Kaspersky Lab (@kaspersky) October 1, 2015

Avec tous les fabricants qui proposent aux utilisateurs des plans d’aide de deux ans, beaucoup d’appareils arrêtent de recevoir les mises à jour vers la fin (ou même au milieu) de leur cycle de vie. En d’autres termes, les modèles de smartphones avec des versions anciennes (et pour toujours non corrigées) d’Android sont nombreux, et leur quantité varie selon les distributeurs.

Pour déterminer le niveau de sécurité des différents distributeurs Android, le groupe de recherches de Cambridge a établi l’indice FUM :

• F : la part des appareils qui n’étaient pas exposés à des vulnérabilités graves pendant l’expérience
• U : la part des appareils d’un distributeur en particulier qui utilisent la dernière version d’Android.
• M : le nombre moyen de vulnérabilités non corrigées dans les téléphones d’un distributeur en particulier.

Le total normalisé de ces éléments constitue l’indice FUM, avec des valeurs allant de 1 à 10. Il permet d’évaluer le score de sécurité obtenu par un distributeur.

95% of #Android phones can be hacked with one just #MMS, millions at risk https://t.co/BJg5e7ss8N #infosec pic.twitter.com/DGBSkhQdDo

— Kaspersky Lab (@kaspersky) August 4, 2015

En seulement quatre ans, de juillet 2011 à 2015, l’indice FUM moyen pour tous les appareils Android s’est révélé terriblement bas : 2,87 sur 10. Les smartphones les plus sécurisés sont les Nexus de Google. Il n’y a rien de surprenant : Google s’occupent de corriger ses propres appareils.

Pour les appareils Nexus, l’indice FUM atteint la valeur de 5,17 (ce qui n’est pas non plus très proche de 10). Malheureusement, les mises à jour n’arrivent pas directement sur les appareils Nexus : la sortie des mises à jour OTA peut prendre jusqu’à deux semaines. Pendant ce temps, les appareils ne sont pas sécurisés.

Pour rendre justice aux autres distributeurs de smartphones, les champions sont LG (indice FUM de 3,97), suivi par Motorola (3,07), Samsung (2,75), Sony (2,63), HTC (2,63) et ASUS (2,35).

Les appareils les moins sécurisés appartiennent aux marques sans nom, comme Symphony (0,30) et Walton (0,27). Nous pouvons supposer que la plupart des marques chinoises sans nom possède un indice FUM tout aussi bas.

Of Non-Nexus Devices and the #Android #Security Rewards Program: http://t.co/owKwqqFmDJ via @threatpost

— Kaspersky Lab (@kaspersky) June 18, 2015

Ce qu’il a de troublant avec cette étude, c’est l’exclusion délibérée des smartphones Huawei, Lenovo et Xiaomi, étant donné que ces marques occupent les 2e, 3e et 4e positions dans le classement des meilleures ventes de smartphones Android dans le monde (selon l’IDC).

En gardant cette information en tête notamment, l’étude ne peut pas être considérée comme parfaitement juste et équitable, bien que son importance n’en soit pas diminuée. Les chercheurs sont parvenus à présenter une image complète (et quelque peu sombre) de la sécurité de l’écosystème, ainsi qu’à attirer l’attention sur des difficultés fréquemment rencontrées dans le domaine de la sécurité informatique.

Il faut reconnaître qu’Android est un système terriblement vulnérable. Et il le restera, à moins que Google modifie le système OS et le modèle de distribution pour mettre en œuvre des mécanismes de mises à jour simultanées, régulières et indépendantes des distributeurs, afin d’épargner aux utilisateurs la mission difficile de s’occuper eux-mêmes de la sécurité de leurs appareils.

Protect your #Android: 10 tips for maximum security https://t.co/PDu801dfyg pic.twitter.com/auqQf6NfVL

— Eugene Kaspersky (@e_kaspersky) November 8, 2014

Que peuvent faire maintenant les utilisateurs pour s’assurer que leurs appareils sont protégés ? Voici quelques conseils simples :

1. Installer les mises à jour dès qu’elles sont disponibles. Ne pas les ignorer.
2. Télécharger des applications uniquement depuis des sources sûres et faire attention aux sites suspects. Cela ne vous protègera pas de tous les problèmes de sécurité, mais il s’agit quand même un moyen d’éviter un certain type de menaces.
3. Utiliser une solution de sécurité – si les distributeurs de smartphones sont lents pour diffuser les patches de sécurité et protéger les utilisateurs contre les exploits, les entreprises d’antivirus peuvent fournir un meilleur travail ici.
4. Essayer de rester informé en lisant des nouvelles sur la sécurité. Autrement, vous ne sauriez pas, par exemple, qu’il vaut mieux désactiver le téléchargement automatique des MMS pour éviter des problèmes liés à la vulnérabilité Stagefright.