Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les 12 smartphones les moins sécurisés de 2011
Sont tous sous Android, Bit9 dénonce le processus de distribution des mises à jour de l'OS

Le , par Gordon Fowler

0PARTAGES

4  0 
Bit9 est une des très nombreuses sociétés spécialisées dans la sécurité informatique. Elle est notamment connue pour son rapport “Dirty Dozen” qui liste les smartphones les plus exposés aux attaques.

En cette année 2011, le palmarès est entièrement composé de terminaux sous Android. L’iPhone 4 arrivant en 13ème position (voir infographie ci-dessous pour la liste complète).

Les auteurs de cette étude soulignent bien qu’il ne s’agit pas de dire que tel système est intrinsèquement plus sûr que tel autre. Ils se sont en fait concentré sur le nombre de machines tournant avec des versions de l’OS périmées ou avec des correctifs de sécurité non appliqués.

Résultat, 56 % des références sous Android sont dans cette situation. La faute à un trop grand nombre d’acteurs dans la chaîne de distribution des mises à jour (Google, le constructeur, l’opérateur). Pire, certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.

Bit9 avertit que cette situation pourrait avoir des répercutions très négatives pour les entreprises. Les smartphones sont en effet de plus en plus utilisés comme un outil professionnel et stockent des données de plus en plus sensibles.

L’absence de distribution systématique de mises à jour et le manque de contrôles sur les applications avant leurs mises en ligne dans l’Android Market, les deux ajoutés au Bring Your Own Device (laisser les employés utiliser les outils informatiques qu’ils souhaitent) pourraient former un cocktail détonnant.

Pour remédier à cette situation, Bit9 appelle les constructeurs et les opérateurs à ne plus freiner les mises à jour et à considérer les smartphones comme des ordinateurs portables et non plus comme des téléphones.

“Ce serait comme d’acheter un PC chez Dell et de s’en remettre à Dell et à votre fournisseur d'accès Internet, au lieu de Microsoft, pour les mises à jour de Windows. Avec des fabricants de PC et des FAI si nombreux, le résultat serait une fragmentation complète du marché, avec différents ordinateurs ayant différentes versions de Windows en fonction de l'endroit où ils ont été achetés et de là où vivent leurs utilisateurs. Et bien c'est exactement ce qui s'est passé au sein du marché des smartphones Android”, conclut Bit9.

La solution serait d’autant plus pertinente et raisonnable qu’elle a déjà été mise en oeuvre par Apple avec l’iPhone et par Google avec les Nexus.

Ne reste plus qu'à espérer que tous les acteurs du secteur entendent le message.

Les 12 smartphones les moins sécurisés de 2011 (rapport de Bit9, PDF)

Et vous ?

Que pensez-vous de cette liste ?
Trouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neko
Membre chevronné https://www.developpez.com
Le 12/12/2011 à 17:57
Citation Envoyé par Franck Dernoncourt Voir le message
Grâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone il y a moins de deux ans... Impossible de mettre à jour.
J'ai un galaxy S, a peine plus d'un an et il semblerait que Samsung ne le supporte déjà plus. Le pire c'est qu'il est toujours dispo neuf dans le commerce.
5  0 
Avatar de Franck Dernoncourt
Membre émérite https://www.developpez.com
Le 12/12/2011 à 17:52
Citation Envoyé par Gordon Fowler Voir le message
certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.
Grâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone (Samsung Galaxy i7500) il y a moins de deux ans... Impossible de mettre à jour.

Citation Envoyé par http://en.wikipedia.org/wiki/Samsung_i7500#Criticism
Due to a lack of firmware updates Samsung has received a lot of criticism from Galaxy users. A petition requesting future updates has been initiated. To date over 8000 people have signed it.
Vive l'obsolescence programmée !
4  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 14/12/2011 à 8:58
Citation Envoyé par Le Vendangeur Masqué Voir le message

Et pour information le taux de malware sous iOS est de zéro. Oui, vous avez bien lu, rien, nada. Et cela grâce à la validation et à l'impossibilité d'installer des applis qui viennent de nul part.
C'est complétement faux, iOS étant une plateforme très répandue, il y a eu de nombreux pirates qui s'y sont intéressés. Des applications détournées (du genre un jeu qui servait en fait pour connecter son pc relié à la 3G), ça s'est vu sous iOs. Alors dire qu'il y en a moins car la vérification des applications est plus minutieuse et rigoureuse que sous Android, oui. Oser affirmer qu'il n'y a aucun malware... Et puis à chaque sortie, il est jailbreaké dans la journée qui suit. Tu appelles ça un OS sécurisé ?

ça commence à bien faire ces réponses systématiques pro-Apple...
4  2 
Avatar de Franck Dernoncourt
Membre émérite https://www.developpez.com
Le 24/12/2011 à 18:18
Comme d'habitude, l'histoire se répète. http://www.businessinsider.com/samsu...update-2011-12 : How Samsung Just Screwed Over About 10 Million Of Its Android Phone Customers.

Today Samsung announced that its line of Galaxy S phones, one of the most popular Android phone models of 2010, will not get Google's latest version of Android, Ice Cream Sandwich.
That means ~10 million people who bought the phone are going to be stuck on the outdated version 2.3 Gingerbread (or 2.2 Froyo in many cases) until they decide to drop more cash on a new phone.
2  0 
Avatar de frasene
Membre régulier https://www.developpez.com
Le 12/12/2011 à 17:44
C'est dommage qu'on n'ait pas d'échos sur Symbian (et oui ce sont des smartphones)... Cela reste toujours intéressant d'avoir un comparatif sur tous les systèmes même ceux qui sont considérés comme étant à la traîne... D'autant plus que cela reste très important de savoir si on est ou non sur un système à peu près sécurisé... Mais il est vrai que les opérateurs filtrent énormément les mise à jour que cela soit pour Nokia ou autres... Je me rappelle avoir attendu 6 mois après l'achat du 5800 pour avoir la navigation GPS gratuite... Mais pour la sécurité, les mises à jour ne devrait pas dépendre des opérateurs...
1  0 
Avatar de Kiiwi
Membre chevronné https://www.developpez.com
Le 12/12/2011 à 18:13
Trouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?
Clairement oui!

Google sort une mise à jour, il faut des fois attendre des mois et des mois (et même 1 an entier) pour que le constructeurs déploie la mise à jours sur ses terminaux, mais ça s'arrête pas là, il faut encore attendre quelques semaines-mois pour que l'opérateur l'adapte à sa surcouche.

Et puis y a ensuite les terminaux très vite abandonnés par le constructeur.
le Galaxy S est un bon exemple. Quand tu as mis le prix qu'il fallait pour te procurer un Galaxy S ... je pense que tu t'attends à plus de la part de Samsung. Et puis le Galaxy S reste un bon smartphone, toujours commercialisé ...
1  0 
Avatar de pschiit
Membre actif https://www.developpez.com
Le 13/12/2011 à 10:34
j'ai cru comprendre que android n'etait qu'une surcouche posée sur une base linux.
Quand on voit sur les forum que les devs redéveloppent les accès à chacuns des composants du tél, je trouve que ça fait énormément de boulot.
Quand on compare avec le monde des ordis (nos smartphones s'en rapprochent de + en +), on n'a pas besoin d'attendre que le constructeur redéveloppe tous ses drivers. Une fois qu'ils ont été créés, ils sont réutilisés.
De plus, dans pas mal de distrib linux, il existe des outils permettant de rechercher les patchs de sécurité.
Qu'est ce qui empèche les constructeurs de faire pareil?
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 14/12/2011 à 11:46
Citation Envoyé par Le Vendangeur Masqué Voir le message
Et encore pire: Google par son hypocrisie sur la non-validation des applications (histoire de dire: nous on est les gentils ouverts face au méchant fermé Apple... Et parlons pas des économies que ça représente), est responsable de la vague de malware que subit Android. Cet OS subit déjà 60% de tous les logiciels malveillants de toutes les plateformes mobiles. Un système très répandu et où l'on rentre presque comme dans un moulin ne peut qu'attirer les convoitises...
Complètement faux.
Google valide bien les applications de l'Android Market, et il vérifie particulièrement que l'application n'est pas un malware. La seule différence avec Apple à ce niveau est que Google ne se permet pas d'interdire telle ou telle application parce qu'elle ne lui plait pas. Si une application n’enfreint pas manifestement la loi, elle est publiée.

Android permet, il est vrai d'installer des application hors-market mais c'est désactivé par défaut, et on est clairement prévenu des risques si on l'active

Citation Envoyé par Le Vendangeur Masqué Voir le message
Et pour information le taux de malware sous iOS est de zéro. Oui, vous avez bien lu, rien, nada. Et cela grâce à la validation et à l'impossibilité d'installer des applis qui viennent de nul part.
Complètement faux, les validateurs de l'AppStore comme ceux de l'Android Market ont déjà laissé passer des malwares qui ont du être supprimées à postériori.

Le process de validation ne rend pas intrinsèquement iOS plus sur. Les validateurs d'Apple ne peuvent tout simplement pas faire un reverse enginering complet sur chaque application pour l'étudier et s'assurer qu'elles n'utilisent pas de faille. Et même si s'était le cas, ça ne serait absolument pas une garantie.
Pour protéger des malwares, ils se contentent (comme Google) d'outils automatiques de type antivirus.
Le travail des validateurs d'Apple consiste surtout à vérifier que l'application correspond à la politique de la maison (pas d'applications qui dupliquent une fonctionnalité de l'iPhone, pas de contenu érotique, ...)

Citation Envoyé par Le Vendangeur Masqué Voir le message
Et par charité je ne citerais pas le nom d'une grande entreprise Française qui cherche en ce moment à s'équiper de tablettes et où certains responsables informatiques et informaticiens poussent à choisir Android plutôt que l'iPad.
C'est assez fou de voir que ces "professionnels" ont complètement perdu de vue les problèmes de sécurité, pérennité (et accessoirement d'écosystème minuscule) que pose Android.
Vous-vous voyer expliquer sérieusement à votre patron choisir un système parce qu'il concentre les malwares, parce que les mises à jour y sont rares voir inexistantes, et que question applis et accessoires c'est le désert ?
Bonne blague! Un iPhone ça se jailbreake, un Android ça se roote, et un Blackberry ça se pirate aussi (un certain DSK en sait quelquechose). Il est clair qu'aucun des téléphone de grande série ne sont vraiment surs.
Par contre pour un professionnel, le fait de pouvoir avoir recours à une application maison à un vrai intérêt.

Citation Envoyé par Le Vendangeur Masqué Voir le message
Victimes pour l'instant, non, le soucis actuel d'Android c'est les malwares.
Mais c'est un problème de sécurité à venir car même les maj de sécurité ne viennent plus.
Tu pars du principe que s'il n'y a pas de mises à jour majeures, il n'y a pas non plus de mise à jour de sécurité, ce qui est généralement faux. Le problème de l'article c'est qu'il ne prend pas du tout en compte ça. Il étudie le temps que mettent les constructeurs a passer à la prochaine version majeure ce qui est un problème pour le geek qui veut toujours la dernière version du système, absolument pas pour la sécurité.
Rien dans ces statistiques n'indique si il y a des mises à jour sécurité ou non et combien de temps elle sont déployées après la découverte d'un vulnérabilité. C'est pourtant ça et seulement ça, la statistique utile d'un point de vue sécurité.
3  2 
Avatar de atha2
Membre éprouvé https://www.developpez.com
Le 12/12/2011 à 21:23
Pour résumé, les constructeurs de mobile ont un long processus de validation de l'OS. Donc résumer les retards de MAJ par rapport à la sortie de l'OS part Google au simple ajout du surcouche graphique par le constructeur me parait simpliste. A noter que le même processus de validation est aussi fait par les opérateur téléphonique(qui ont aussi parfois leur surcouche graphique )
Mais du coup on se retrouve avec des téléphones sur lesquelles ont découvre de nouvelles failles (non testées lors de la validation puisque non connues à ce moment là).

Après il y a t'il une meilleur façon de procéder ? Perso j'ai pas de solution.

Citation Envoyé par Kiiwi Voir le message
Clairement oui!

Google sort une mise à jour, il faut des fois attendre des mois et des mois (et même 1 an entier) pour que le constructeurs déploie la mise à jours sur ses terminaux, mais ça s'arrête pas là, il faut encore attendre quelques semaines-mois pour que l'opérateur l'adapte à sa surcouche.

Et puis y a ensuite les terminaux très vite abandonnés par le constructeur.
le Galaxy S est un bon exemple. Quand tu as mis le prix qu'il fallait pour te procurer un Galaxy S ... je pense que tu t'attends à plus de la part de Samsung. Et puis le Galaxy S reste un bon smartphone, toujours commercialisé ...
Heureusement qu'il existe de ROM alternative comme Cyanogen qui permettent pour les smartphones les plus vendus d'accéder à une version plus récente de d'android. Par contre cette opération fait tomber la garantie donc il faut mieux faire un ghost avant. Mais il y a des tuto qui explique ça de manière très clair.
0  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 13/12/2011 à 8:42
Personnellement, j'ai un HTC-Desire acheté il y a moins d'un an chez Bouygues Telecom, initialement en 2.1, j'ai pu directement l'upgrader en 2.2, mais depuis plus aucune mise à jour proposée, et il semble qu'il n'y en aura plus...
0  0