Les 12 smartphones les moins sécurisés de 2011
Sont tous sous Android, Bit9 dénonce le processus de distribution des mises à jour de l'OS
Le 2011-12-12 17:11:54, par Gordon Fowler, Expert éminent sénior
Bit9 est une des très nombreuses sociétés spécialisées dans la sécurité informatique. Elle est notamment connue pour son rapport “Dirty Dozen” qui liste les smartphones les plus exposés aux attaques.
En cette année 2011, le palmarès est entièrement composé de terminaux sous Android. L’iPhone 4 arrivant en 13ème position (voir infographie ci-dessous pour la liste complète).
Les auteurs de cette étude soulignent bien qu’il ne s’agit pas de dire que tel système est intrinsèquement plus sûr que tel autre. Ils se sont en fait concentré sur le nombre de machines tournant avec des versions de l’OS périmées ou avec des correctifs de sécurité non appliqués.
Résultat, 56 % des références sous Android sont dans cette situation. La faute à un trop grand nombre d’acteurs dans la chaîne de distribution des mises à jour (Google, le constructeur, l’opérateur). Pire, certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.
Bit9 avertit que cette situation pourrait avoir des répercutions très négatives pour les entreprises. Les smartphones sont en effet de plus en plus utilisés comme un outil professionnel et stockent des données de plus en plus sensibles.
L’absence de distribution systématique de mises à jour et le manque de contrôles sur les applications avant leurs mises en ligne dans l’Android Market, les deux ajoutés au Bring Your Own Device (laisser les employés utiliser les outils informatiques qu’ils souhaitent) pourraient former un cocktail détonnant.
Pour remédier à cette situation, Bit9 appelle les constructeurs et les opérateurs à ne plus freiner les mises à jour et à considérer les smartphones comme des ordinateurs portables et non plus comme des téléphones.
“Ce serait comme d’acheter un PC chez Dell et de s’en remettre à Dell et à votre fournisseur d'accès Internet, au lieu de Microsoft, pour les mises à jour de Windows. Avec des fabricants de PC et des FAI si nombreux, le résultat serait une fragmentation complète du marché, avec différents ordinateurs ayant différentes versions de Windows en fonction de l'endroit où ils ont été achetés et de là où vivent leurs utilisateurs. Et bien c'est exactement ce qui s'est passé au sein du marché des smartphones Android”, conclut Bit9.
La solution serait d’autant plus pertinente et raisonnable qu’elle a déjà été mise en oeuvre par Apple avec l’iPhone et par Google avec les Nexus.
Ne reste plus qu'à espérer que tous les acteurs du secteur entendent le message.
Les 12 smartphones les moins sécurisés de 2011 (rapport de Bit9, PDF)
Et vous ?
Que pensez-vous de cette liste ?
Trouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?
En cette année 2011, le palmarès est entièrement composé de terminaux sous Android. L’iPhone 4 arrivant en 13ème position (voir infographie ci-dessous pour la liste complète).
Les auteurs de cette étude soulignent bien qu’il ne s’agit pas de dire que tel système est intrinsèquement plus sûr que tel autre. Ils se sont en fait concentré sur le nombre de machines tournant avec des versions de l’OS périmées ou avec des correctifs de sécurité non appliqués.
Résultat, 56 % des références sous Android sont dans cette situation. La faute à un trop grand nombre d’acteurs dans la chaîne de distribution des mises à jour (Google, le constructeur, l’opérateur). Pire, certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.
Bit9 avertit que cette situation pourrait avoir des répercutions très négatives pour les entreprises. Les smartphones sont en effet de plus en plus utilisés comme un outil professionnel et stockent des données de plus en plus sensibles.
L’absence de distribution systématique de mises à jour et le manque de contrôles sur les applications avant leurs mises en ligne dans l’Android Market, les deux ajoutés au Bring Your Own Device (laisser les employés utiliser les outils informatiques qu’ils souhaitent) pourraient former un cocktail détonnant.
Pour remédier à cette situation, Bit9 appelle les constructeurs et les opérateurs à ne plus freiner les mises à jour et à considérer les smartphones comme des ordinateurs portables et non plus comme des téléphones.
“Ce serait comme d’acheter un PC chez Dell et de s’en remettre à Dell et à votre fournisseur d'accès Internet, au lieu de Microsoft, pour les mises à jour de Windows. Avec des fabricants de PC et des FAI si nombreux, le résultat serait une fragmentation complète du marché, avec différents ordinateurs ayant différentes versions de Windows en fonction de l'endroit où ils ont été achetés et de là où vivent leurs utilisateurs. Et bien c'est exactement ce qui s'est passé au sein du marché des smartphones Android”, conclut Bit9.
La solution serait d’autant plus pertinente et raisonnable qu’elle a déjà été mise en oeuvre par Apple avec l’iPhone et par Google avec les Nexus.
Ne reste plus qu'à espérer que tous les acteurs du secteur entendent le message.
Et vous ?
-
NekoMembre chevronné
Code : le 12/12/2011 à 17:57 -
Franck DernoncourtMembre émériteGrâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone (Samsung Galaxy i7500) il y a moins de deux ans... Impossible de mettre à jour.
Envoyé par http://en.wikipedia.org/wiki/Samsung_i7500#Criticism le 12/12/2011 à 17:52 -
FlaburganModérateurC'est complétement faux, iOS étant une plateforme très répandue, il y a eu de nombreux pirates qui s'y sont intéressés. Des applications détournées (du genre un jeu qui servait en fait pour connecter son pc relié à la 3G), ça s'est vu sous iOs. Alors dire qu'il y en a moins car la vérification des applications est plus minutieuse et rigoureuse que sous Android, oui. Oser affirmer qu'il n'y a aucun malware... Et puis à chaque sortie, il est jailbreaké dans la journée qui suit. Tu appelles ça un OS sécurisé ?
ça commence à bien faire ces réponses systématiques pro-Apple...le 14/12/2011 à 8:58 -
Franck DernoncourtMembre émériteComme d'habitude, l'histoire se répète. http://www.businessinsider.com/samsu...update-2011-12 : How Samsung Just Screwed Over About 10 Million Of Its Android Phone Customers.Today Samsung announced that its line of Galaxy S phones, one of the most popular Android phone models of 2010, will not get Google's latest version of Android, Ice Cream Sandwich.
That means ~10 million people who bought the phone are going to be stuck on the outdated version 2.3 Gingerbread (or 2.2 Froyo in many cases) until they decide to drop more cash on a new phone.le 24/12/2011 à 18:18 -
fraseneMembre régulierC'est dommage qu'on n'ait pas d'échos sur Symbian (et oui ce sont des smartphones)... Cela reste toujours intéressant d'avoir un comparatif sur tous les systèmes même ceux qui sont considérés comme étant à la traîne... D'autant plus que cela reste très important de savoir si on est ou non sur un système à peu près sécurisé... Mais il est vrai que les opérateurs filtrent énormément les mise à jour que cela soit pour Nokia ou autres... Je me rappelle avoir attendu 6 mois après l'achat du 5800 pour avoir la navigation GPS gratuite... Mais pour la sécurité, les mises à jour ne devrait pas dépendre des opérateurs...le 12/12/2011 à 17:44
-
KiiwiMembre chevronnéTrouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?
Google sort une mise à jour, il faut des fois attendre des mois et des mois (et même 1 an entier) pour que le constructeurs déploie la mise à jours sur ses terminaux, mais ça s'arrête pas là, il faut encore attendre quelques semaines-mois pour que l'opérateur l'adapte à sa surcouche.
Et puis y a ensuite les terminaux très vite abandonnés par le constructeur.
le Galaxy S est un bon exemple. Quand tu as mis le prix qu'il fallait pour te procurer un Galaxy S ... je pense que tu t'attends à plus de la part de Samsung. Et puis le Galaxy S reste un bon smartphone, toujours commercialisé ...le 12/12/2011 à 18:13 -
pschiitMembre actifj'ai cru comprendre que android n'etait qu'une surcouche posée sur une base linux.
Quand on voit sur les forum que les devs redéveloppent les accès à chacuns des composants du tél, je trouve que ça fait énormément de boulot.
Quand on compare avec le monde des ordis (nos smartphones s'en rapprochent de + en +), on n'a pas besoin d'attendre que le constructeur redéveloppe tous ses drivers. Une fois qu'ils ont été créés, ils sont réutilisés.
De plus, dans pas mal de distrib linux, il existe des outils permettant de rechercher les patchs de sécurité.
Qu'est ce qui empèche les constructeurs de faire pareil?le 13/12/2011 à 10:34 -
UtherExpert éminent séniorComplètement faux.
Google valide bien les applications de l'Android Market, et il vérifie particulièrement que l'application n'est pas un malware. La seule différence avec Apple à ce niveau est que Google ne se permet pas d'interdire telle ou telle application parce qu'elle ne lui plait pas. Si une application n’enfreint pas manifestement la loi, elle est publiée.
Android permet, il est vrai d'installer des application hors-market mais c'est désactivé par défaut, et on est clairement prévenu des risques si on l'active
Complètement faux, les validateurs de l'AppStore comme ceux de l'Android Market ont déjà laissé passer des malwares qui ont du être supprimées à postériori.
Le process de validation ne rend pas intrinsèquement iOS plus sur. Les validateurs d'Apple ne peuvent tout simplement pas faire un reverse enginering complet sur chaque application pour l'étudier et s'assurer qu'elles n'utilisent pas de faille. Et même si s'était le cas, ça ne serait absolument pas une garantie.
Pour protéger des malwares, ils se contentent (comme Google) d'outils automatiques de type antivirus.
Le travail des validateurs d'Apple consiste surtout à vérifier que l'application correspond à la politique de la maison (pas d'applications qui dupliquent une fonctionnalité de l'iPhone, pas de contenu érotique, ...)
Bonne blague! Un iPhone ça se jailbreake, un Android ça se roote, et un Blackberry ça se pirate aussi (un certain DSK en sait quelquechose). Il est clair qu'aucun des téléphone de grande série ne sont vraiment surs.
Par contre pour un professionnel, le fait de pouvoir avoir recours à une application maison à un vrai intérêt.
Tu pars du principe que s'il n'y a pas de mises à jour majeures, il n'y a pas non plus de mise à jour de sécurité, ce qui est généralement faux. Le problème de l'article c'est qu'il ne prend pas du tout en compte ça. Il étudie le temps que mettent les constructeurs a passer à la prochaine version majeure ce qui est un problème pour le geek qui veut toujours la dernière version du système, absolument pas pour la sécurité.
Rien dans ces statistiques n'indique si il y a des mises à jour sécurité ou non et combien de temps elle sont déployées après la découverte d'un vulnérabilité. C'est pourtant ça et seulement ça, la statistique utile d'un point de vue sécurité.le 14/12/2011 à 11:46 -
atha2Membre éprouvéPour résumé, les constructeurs de mobile ont un long processus de validation de l'OS. Donc résumer les retards de MAJ par rapport à la sortie de l'OS part Google au simple ajout du surcouche graphique par le constructeur me parait simpliste. A noter que le même processus de validation est aussi fait par les opérateur téléphonique(qui ont aussi parfois leur surcouche graphique
)
Mais du coup on se retrouve avec des téléphones sur lesquelles ont découvre de nouvelles failles (non testées lors de la validation puisque non connues à ce moment là).
Après il y a t'il une meilleur façon de procéder ? Perso j'ai pas de solution.
Heureusement qu'il existe de ROM alternative comme Cyanogen qui permettent pour les smartphones les plus vendus d'accéder à une version plus récente de d'android. Par contre cette opération fait tomber la garantie donc il faut mieux faire un ghost avant. Mais il y a des tuto qui explique ça de manière très clair.le 12/12/2011 à 21:23 -
FlaburganModérateurPersonnellement, j'ai un HTC-Desire acheté il y a moins d'un an chez Bouygues Telecom, initialement en 2.1, j'ai pu directement l'upgrader en 2.2, mais depuis plus aucune mise à jour proposée, et il semble qu'il n'y en aura plus...le 13/12/2011 à 8:42