« Android, OS mobile le plus insécurisé qui soit » : à qui la faute ?
Une simple migration vers Jelly Bean suffirait à résoudre plusieurs problèmes

Le , par Cedric Chevalier, Expert éminent sénior
Google domine l'écosystème mobile avec son OS mobile. Malheureusement, ce dernier constitue une cible de choix pour les pirates informatiques qui en ont fait leur terrain de jeux privilégié. Un récent rapport des acteurs dans le domaine de la sécurité des mobiles (auquel un article entier a été consacré sur DVP), fait état d'une augmentation vertigineuse du nombre de menaces.

Pourtant, la solution à bien des malheurs que rencontrent les possesseurs de mobiles Android, serait toute simple. Il leur suffirait tout juste de faire une mise à jour pour le récent Jelly Bean 4.2. Pour cause, les 3/4 des menaces auxquelles ils doivent faire face ont en commun l'envoi d'un SMS à un numéro. Action qui permettrait, selon les estimations de la firme Juniper, à un hacker de gagner l'équivalent de 10 dollars US par appel. Jelly Bean 4.2 implémente un mécanisme qui requiert la confirmation de l'utilisateur, lorsqu'un SMS devrait être envoyé à un de ces numéros à problèmes.

Android est une plateforme très fragmentée. Les faits sont là. Les utilisateurs ont tendance à ne pas faire les mises à jour lorsque celles-ci sont disponibles comme le témoigne les données du Google play. Jelly Bean 4.2 est installé sur 4 % des périphériques qui ont accès au magasin d'application de Google.


Il est vrai que la mise à jour vers Jelly Bean 4.2 ne suffit pas à résoudre tous les problèmes de l'OS mobile de Google, cependant les utilisateurs doivent prendre de bonnes habitudes. Lorsqu'une mise à jour est disponible, celle-ci doit être installée.

Source : rapport Juniper

Et vous ?

Qu'est-ce qui peut expliquer ce comportement des possesseurs des mobiles Android ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Sake_reflex Sake_reflex - Membre habitué https://www.developpez.com
le 27/06/2013 à 18:11
Le problème concernant les mises a jours, c'est qu'elles sont distribuées par le constructeur, puis l’opérateur téléphonique. Ce qui met un temps monstre a arriver.. et si elles arrivent. Car parfois on doit vraiment se débrouiller seul pour installer une mise a jour. Ce qui peut inclure root son téléphone pour installer une room custom et c'est pas forcement évident.

J'ai du mettre une demi-journée pour installer un cyanogenmod sur mon HTC Sensation
Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 27/06/2013 à 18:42
Faudrait aussi que les utilisateurs lisent et comprennent les privilèges demandés par certains programmes lors de leur installation.

Un sudoku ou Tetris qui demandent l'accès internet, l'accés au carnet d'adresse ou la geo localisation, c'est louche, il ne fait peut pas que sudoku ce programme.

Maintenant, peut être aussi que le libellé de ces privilèges affichés par l'installeur d'applications n'est pas suffisamment compréhensible ou adapté pour Mme Michu du Cantal.
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 27/06/2013 à 19:07
J'ai deux appareils sous Android.
Un smartphone HTC et une tablette Samsung.
J'attends encore les mises à jour qui diffèrent de la version constructeur...
Et comme j'ai franchement pas le temps d'installer une rom custom...
Avatar de air-dex air-dex - Membre émérite https://www.developpez.com
le 27/06/2013 à 20:08
Article à prendre avec quelques pincettes. L'étude est de Juniper où travaillent pas mal d'anciens Microsoft. Certains diraoient même que c'est une entreprise satellite de MS. Du coup il faut prendre en compte le petit "passez à Windows Phone ! " en filigrane.

Citation Envoyé par Sake_reflex  Voir le message
Le problème concernant les mises a jours, c'est qu'elles sont distribuées par le constructeur, puis l’opérateur téléphonique. Ce qui met un temps monstre a arriver.. et si elles arrivent.

+1000. Le pire c'est quand Android peut passer, mais pas le crapware de l'OEM. Du coup le constructeur ne fait pas la màj. Ceci doit d'ailleurs rester en travers de la gorge des nombreux possesseurs de Samsung Galaxy S qui n'ont pas eu ICS à cause de ça.

Après si les gens veulent des màj Android rapides ils n'ont qu'à acheter des Nexus au lieu des Galaxy ou pire, des Xperia (en considérant le "Galaxy Nexus" comme un Nexus bien entendu ). Sur ce point j'attends de voir ce que les OEMs proposant des Google Edition vont faire. Les màj "Google Edition" seront-elles dispos en même temps que les Nexus ou que les autres appareils de la marque 6 mois après.

Citation Envoyé par Sake_reflex  Voir le message
Car parfois on doit vraiment se débrouiller seul pour installer une mise a jour. Ce qui peut inclure root son téléphone pour installer une room custom et c'est pas forcement évident.

Ne confonds pas une màj opérateur/constructeur et installation d'une ROM alternative. J'imagine mal un opérateur (ou constructeur) imposer un root et un flash sur un appareil Android pour une simple màj.

Changer de ROM n'est pas faire une màj, même si la version d'Android est plus élevée. Et il ne faut pas non plus oublier le côté amaeur de bien d'entre elles : "wesh t'as vu t'as le dernier Android sur ton tél mais c'est pas optimisé et je corrigerai les bugs quand j'aurai le temps". On n'aura jamais ça avec une màj officielle.
Avatar de Kiiwi Kiiwi - Membre chevronné https://www.developpez.com
le 27/06/2013 à 21:34
Toutes ces menaces sur Android... elles proviennent quasiment pas du google play, n'est-ce pas?

(@ram-0000

l'accès internet c'est bien souvent pour les publicités. Pas de quoi prendre peur.
Pour la géolocalisation, suffit de désactiver l'option énergivore dans les paramètres et ça cesse d'être un problème)
Avatar de nicroman nicroman - Modérateur https://www.developpez.com
le 28/06/2013 à 2:02
Citation Envoyé par air-dex  Voir le message
Article à prendre avec quelques pincettes. L'étude est de Juniper où travaillent pas mal d'anciens Microsoft. Certains diraoient même que c'est une entreprise satellite de MS. Du coup il faut prendre en compte le petit "passez à Windows Phone ! " en filigrane.

Absolument, d'ailleurs le problème est le même de partout, quand un système est distribué à grande échelle il devient obligatoirement une cible de choix. Que ce soit Windows (il existe aussi des virii sur Linux pourtant on en parle moins car moins intéressant), Android, ou tout OS futur qui aura une pénétration importante du marché. Personne ne peut faire un OS sur à 100%. Et quand l'OS est difficile à véroler (ce qui est le cas d'un Android), alors il reste la méthode du phishing (mise à jour Flash par exemple, alors que flash n'existe plus sur smartphones) qui ne trompe que l'utilisateur débutant.

Ne confonds pas une màj opérateur/constructeur et installation d'une ROM alternative. J'imagine mal un opérateur (ou constructeur) imposer un root et un flash sur un appareil Android pour une simple màj.

C'est même encore pire...
Il n'existe pas de notion de "Mise A Jour Android"...
Il y a des ROMs... des ROMs constructeurs officielles (leakées ou non), des ROMs opérateurs, des ROMs AOSPs, des ROMs Custom, etc...

Ensuite, chaque constructeur propose un système de mise à jour automatique de ses ROMs (et souvent de la version "opérateur"), qu'il soit OTA ou par un outil sur ordinateur.
Rien n'empêche un fournisseur de ROM customs à proposer un système de mise à jour de ses ROMs (cyanogen par exemple).

Pour le root, c'est encore différent, il consiste à remplacer le kernel d'une ROM par un kernel modifié donnant accès à la commande "su". Et tout kernel digne de ce nom, indiquera immédiatement à l'utilisateur l'utilisation de ce fameux "su" (et demandera son autorisation au besoin) donc ne réduit pas la "protection" du système... Après, si l'utilisateur s'amuse en "root" à coller un cheval de troie dans le répertoire /system/app ... on peut difficilement parler d'un problème de l'OS
Avatar de pcaboche pcaboche - Rédacteur https://www.developpez.com
le 28/06/2013 à 8:52
Citation Envoyé par Cedric Chevalier  Voir le message
Ils leur suffiraient tout juste de faire une mise à jour pour le récent Jelly Bean 4.2.

J'adore cette phrase. "Il suffirait juste de mettre à jour Android pour avoir moins de problèmes de sécurité"... Sauf que sur de nombreux appareils, c'est juste techniquement pas possible.

Le modèle de phrase est très simple :
"Il suffirait juste + (condition impossible) + pour + (effet improbable)"

À partir de ce modèle, on peut générer des tautologie à la pelle !

ex: "Il suffirait juste que tout le monde soit riche pour qu'il n'y ait plus de pauvres" (duh! )

Pour en revenir aux problèmes de sécurité, ça me fait mal de le dire mais niveau mises à jour, c'est encore iOS qui s'en sort le mieux (parce que upgrader un Android ou un Windows Phone... ).
Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 28/06/2013 à 9:18
Citation Envoyé par ram-0000  Voir le message
Faudrait aussi que les utilisateurs lisent et comprennent les privilèges demandés par certains programmes lors de leur installation.

Un sudoku ou Tetris qui demandent l'accès internet, l'accés au carnet d'adresse ou la geo localisation, c'est louche, il ne fait peut pas que sudoku ce programme.

Maintenant, peut être aussi que le libellé de ces privilèges affichés par l'installeur d'applications n'est pas suffisamment compréhensible ou adapté pour Mme Michu du Cantal.

Pour ma part, que les libellés soient suffisant ou non n'y changerait pas grand chose. Moi aussi je conseille à tout le monde devérifier tout ça... mais faut pas se mentir, il nous est tous arrivé d'installer une appli avec une demande de droit cheloux, par ce que sinon, on arrive pas à trouver ce qu'on cherche.

Ce qui faudrait, c'est que les développeur aient l'obligation de préciser pour CHAQUE droit demandé, comment l'application va l'utiliser.
Il faudrait également qu'il soit facile pour tout le monde de "dénoncer une utilisation abusive de droit" si on remarque qu'une application ne fait pas UNIQUEMENT ce qu'elle est censée faire.
Si une application reçoit un certain nombre de ces notifications, il leur sera alors bien plus facile de faire le ménage.

J'y vois en plus un certain avantage pour les développeur. En effet, si une application demande un accès internet uniquement pour les pubs, l'utilisateur pourrait plus facilement comprendre qu'en plus de lui retirer la pub, la version premium lui fera également économiser de la bande passante sur son forfait.
Avatar de NameX NameX - Membre actif https://www.developpez.com
le 28/06/2013 à 9:25
De toute façon il faut acheter les NEXUS et puis c'est tout
Avatar de kakashi99 kakashi99 - Membre confirmé https://www.developpez.com
le 28/06/2013 à 9:28
Citation Envoyé par Cedric Chevalier  Voir le message
Ils leur suffiraient tout juste de faire une mise à jour pour le récent Jelly Bean 4.2.

comme j'ai ri en lisant cette phrase !

Quand j'avais mon acer liquid, j'aurais bien aimé mettre mon tél à jour, mais PAS POSSIBLE. et ce pour 2 raisons, acer ne faisait aucun suivi de ses téléphones et impossible techniquement, obligé de resté en 2.1...
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil