Sécurité sur Android : l’éternel point faible de l’OS de Google ?

Date de dernière mise à jour : le 11 avril 2016 à 22 h 54 min

Android est dans la tourmente ces derniers temps sur le terrain de la sécurité. La semaine dernière les découvertes de plusieurs failles ont fait la Une de l’actualité la semaine dernière.

Entre les failles permettant de prendre le contrôle d’un appareil grâce à un simple MMS et la vulnérabilité des systèmes d’empreintes digitales, les mauvaises nouvelles sur le terrain de la sécurité se sont multipliées. Pas de quoi redorer le blason de l’OS de Google, déjà critiqué pour ses problèmes de sécurité.

Souvenez-vous, la semaine dernière de nouvelles découvertes de failles de sécurité ont mis Google dans l’embarras. La première, une vulnérabilité permettant de prendre le contrôle de 95% des smartphones Android grâce à un simple MMS a été longuement relayée par les médias.

La seconde, révélée par deux chercheurs en sécurité lors de la BlackHat Conference, touchait au système de reconnaissance d’empreintes digitales. Si Google s’est montré réactif au sujet de la première faille, ainsi que les constructeurs comme Samsung ou LG, celle en lien avec les empreintes reste inquiétante.

Avec cette attaque, les empreintes digitales des victimes tombent directement entre les mains des attaqueurs. Durant tout la vie de la victime, l’attaqueur peut continuer à utiliser les empreintes digitales de celle-ci pour mener d’autres actions malicieuses. – Deux chercheurs en sécurité lors de la Blackhat Conference –

Car si un mot de passe peut être changé assez facilement, les empreintes digitales c’est pour la vie. Et à partir du moment où une personne malintentionnée dérobera vos empreintes elle pourra les réutiliser jusqu’à ce que vous ne soyez plus de ce monde.

Ce n’est pas la première fois que le système d’empreintes digitales tant mis en avant par les marques pour sa sécurité est victime d’une faille. Il y a quelques temps maintenant des hackers avaient trouvé le moyen de contrecarrer la sécurité des lecteurs en récupérant les empreintes de l’utilisateur sur les traces laissées sur l’écran.

Enfin, le certifi-gate a également fait des émules. Cette énième faille qui permet d’enregistrer les conversations des utilisateurs touche également des centaines de millions d’utilisateurs Android. Une hécatombe la semaine dernière donc sur le terrain de la sécurité.

Cette multiplication des failles de sécurité interroge sur la capacité de Google à faire de son OS un système sûr. Son ouverture augmente le risque forcément, mais la firme de Mountain View ne gagnerait-elle pas en efficacité si elle faisait le pari de fermer un tout petit plus son système pour améliorer considérablement sa sécurité ?

Certains diront que ce sont les risques d’une telle ouverture, d’autres qu’un compromis peut être fait. Ce qui est sûr c’est que les utilisateurs accordent de plus en plus d’importance à la sécurité et que sur ce terrain Google n’a pas encore fait sa révolution. Android M commencera peut-être à améliorer les choses.

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • flo #3

    Et comme par hasard ça ne touche même pas 1% des utilisateurs … l’éternelle question
    Tous les OS ont des failles mais comme Android est le meilleur et le plus beau ( <3 du monde ) forcément ça attire des jaloux !!!
    Je t'aime Android, tu restera a jamais dans mon coeur ( mon vagin artificiel est un bugdroid ) :P
    J'ai fini mon troll … bonne journée ^^

    • fred

      MDR tu devrais écrire des poèmes ;)

      • flo #3

        Sur l’amour phalique que j’ai avec Android ? Hmmm ouais pourquoi pas !!! ^^

    • 1% de 10 millions c’est 100 000 quand même. Et y’a plus que 10 millions de smartphones Android, pour ne pas parler en milliards ;)

      Donc même 1% c’est beaucoup.

      • flo #3

        Je sais, c’était une façon de parler ;)

  • Lol

    Il serait enfin temps que Google prenne
    conscience que son OS est une passoire et
    qu’ils se réveillent enfin comme Microsoft l’ont
    fait à leur époque sur Windows pour que la
    sécurité soit enfin un Pillier de développement.
    Pour moi, en tant que développeur, ouverture de l’OS et sécurité ne me paraissent pas du tout incompatible.
    Microsoft à bien été capable de s’ouvrir et pour autant ils sont devenus très bon en terme de sécurité.

    • Atlas

      Je t’ai mis un +1 mais en même temps parler d’ouverture en citant Microsoft, qui est une des entreprises qui protège le plus son code, est drôle.
      Justement une des raisons pour lesquelles Windows est relativement sûr est que le code n’est pas révélé à tout le monde et ainsi les failles sont plus difficiles à trouver. Dans ce cas on voit que la fermeture est le meilleure choix pour un système qui sera utilisé par des millions de personnes.

      • Lol

        Oui effectivement Microsoft n’ouvre pas tout mais ils ouvrent beaucoup de chose et ça devient de plus en plus leur maître mot.
        Quelque chose de bien codé peut parfaitement être correctement sécurisé même si le code est ouvert.
        Fermer ses sources n’a pour but que de protéger la propriété intellectuelle du développement. Les pirates font du reverse ingenering et sont capables de trouver des failles donc open source ou non ce n’est pas ce qui arrête un pirate.
        Windows n’était et n’est pas open source pourtant avant c’était une passoire maintenant l’OS est correctement sécurisé (même si aucun OS n’est parfait)

      • crachoveride

        Je ne suis pas d’accord, Linux est ouvert (je parle de la plupart des distrib qui le sont), et pourtant est un modèle de sécurité malgré tout, BB os aussi mais le meilleur choix possible est clairement l’ouverture puisque les failles peuvent être corrigé dans les plus bref délais (il est question de minutes ou d’heure maximum) justement grâce à ça.

        • Atlas

          BB est ouvert?

          • crachoveride

            Non, mais il est sécure :) en gros ce que je voulais dire, c’est que dans un cas comme dans l’autre, il est possible de faire du sécure, mais que l’avantage reste quand même à l’os ouvert, ne serai ce que pour un gain de temps.

    • guest.

      Totalement d’accord

  • Atlas

    Encore une fois on voit comment les constructeurs ont ajouté les capteurs d’empreinte à la va-vite sans réfléchir à la sécurité alors que les données d’empreintes sur TouchID sont stockées dans une puce séparée qui ne peut être atteinte par le système.

    Google doit trouver un moyen pour offrir des mises à jour quand il veut quel que soit l’appareil comme le fait Microsoft avec Windows depuis une quinzaine d’années. Ca risque d’être difficile pour de nombreuses raisons mais c’est la seule solution, ou alors un jour ou l’autre ce sera l’hécatombe.

    • Technology

      Je te rejoins sur les premiers capteurs d’empreintes digitales intégrés dans les smartphones android comme le htc one max et le galaxy s5. Depuis quelques temps comme pour le Meizu Mx4 pro, le galaxy s6, le Oneplus Two, il me semble que la partie logicielle d’authentification derrière est le système d’Arm. D’ailleurs la conférence qui pointait les problèmes de sécurité des capteurs d’empreintes digitales pointait du doigt les deux premiers que j’ai cités. Il y a une raison derrière. Si toutes les méthodes d’authentification, de traitement et de stockage n’était pas safe, ils auraient ajouté quelques modèles de plus au tableau de chasse. Bref certains onstructeurs auraient dû attendre avant de lancer leur solution maison de capteur d’empreintes.

      Pour les mises à jour, je n’achète plus que du nexus, mon ancien nexus 4 aura M (selon les infos trouvés dans le code source soit quatre ans de maj majeure et plus avec les majs de sécurité). Prendre un constructeur, c’est ne pas se soucier du suivi de son smartphone à moins de se tourner vers les solutions des développeurs indépendants.

    • Anthony Fontaine

      C’est sur que les hackeurs et cie ne cibleront pas un OS qui n’est pas majoritaire, il se peut qu’il y ait des tonnes de failles dans iOS, Windows 10 Phone et BBOS, mais sans majorité, on ne le saura jamais. Il faut quand même mettre ça en ligne de compte. Un OS à 70-80% de PDM, c’est sur que les hacker vont s’y intéressé et sortir tous les petits manques et failles. C’est comme OSX et Windows, si tu veux faire mal à la planète, tu t’attaque à Windows, pas à OSX.

      Pourtant il y a des gens qui se sont « amuser » avec OSX, la dernière, avant El Capitan, ils ont réussi à installer un virus et aucun outil du style antivirus ne pouvait l’enlever, pour s’en sortir, il faut une opération électrique sur une puce, sinon, tu reste pris avec. Donc aucun OS est 100% sans faille avant d’être sous les feux de la rampe.

      Sinon je suis d’accord, forcer les OEM à mettre à jour leurs appareils avec un minimum de temps (je dirais au minimum 3 ans)… C’était le but de Android Silver il me semble, mais bon… Si Samsung trouve ça dure de mettre à jour leur matériel, pourquoi en sortir à cet fréquence et en quantité industriel (Modèles différents)? Moi je conseille toujours les gens qui se magasine un nouveau smartphone et qui ne veulent pas de la pomme de ne pas aller vers Samsung, même si ils sont attrayant (Gros hardware, software moyen avec TouchWizz et 0 pointé du coté MAJ).

      • Atlas

        Moi j’irais vers Motorola.

      • sardagariga

        Pas d’accord. Il y a à peu près autant d’appareil Android que d’appareils iOS en circulation : un milliard.
        Google se fout de la sécurité. Apple fait le boulot (ça ne garantit pas l’immunité mais ça y contribue très très fort !).

        • Anthony Fontaine

          Regarde les pdm mondial… 8/10 des smartphone ont Android…

          • sardagariga

            Oui, ce qui n’a rien à voir avec le parc de machines en service.

  • bibousiq

    Je pense surtout que la meilleure solution serait que Google puisse pousser les mises à jour (surtout de sécurité) directement, sans avoir à passer par les opérateurs et les manufacturiers qui tardent trop à s’en occuper. De manière plus générale, je ne serais pas contre le fait que Google reprenne un peu plus la main sur son système.

    • Insomnia

      Le soucis principal c’est que les constructeurs modifient tellement le code source qu’une simple mise à jour via google planterai celui ci

      • Asturion

        passe sous des roms plus suivies genre rom cyanogen ou nexus

        • bibousiq

          Vu que je ne suis jamais arrivé à rooter mon téléphone…

      • bibousiq

        Raison de plus pour que Google verrouille un peu plus son OS

  • Technology

    Sécurité: l’éternel point faible de l’informatique.

    • Akmal Abbasi

      Mais avec PureVPN ce n’est pas le cas.

  • guest.

    Apparemment blackberry va sortir un smartphone un smartphone android avec toute la sécurité de leur propre système, peur être que ça donnera des idées à Google.

    • Technology

      Android n’est pas si impuissant que ça au niveau de la sécurité pour les utilisateurs normaux qui ne root pas leurs smartphones. Le problème c’est le suivi.
      Google a les idées, les constructeurs ne veulent pas et ne le laisseront pas faire.
      Google en disposant son OS à tout le monde s’est mis dans la merde. Android dépend maintenant autant des constructeurs que les constructeurs dépendent d’android. Lorsque Google doit vouloir augmenter le suivi des terminaux, les constructeurs doivent lui faire du chantage, des menaces d’abandonner Android mais peuvent-ils réellement le faire ? Non, clairement pas lorsque l’on voit les tentatives « ratées » de leur OS maisons comme Tizen.

      • crachoveride

        Tizen n’est pas sortie dans beaucoup d’endroit et est encore en phase de test, donc peut on réellement parler de ratée? Non, autant tu aurai cité Bada os je ne dit pas, mais la..

  • MoiJe

    « La semaine dernière » les découvertes de plusieurs failles ont fait la Une de l’actualité « la semaine dernière ».

    répétition ?

    • iAndroid

      C’est pas pour faire du bashing Android, mais dernièrement des connaissances qui discutaient pour changer de smartphones vont changer leur fusil d’épaule justement à cause des failles à répétition qu’elles ont eu connaissance dans la presse générale, et vont acheter un iPhone. Problème, ça coûte bien plus cher, donc ils vont se contenter du modèle le moins cher c’est à dire un 5C.
      Malgré tout, je soupçonne Apple et Microsoft d’être impliqués dans ces révélations à répétition des failles de sécurité d’Android, car ça tombe à un moment clé. Quelles coïncidences…

  • itachi

    Pour les empreintes, il vaut mieux pirater les fichiers des passeports biométriques, beaucoup plus d’empreintes et de personnes.

  • crachoveride

    Heureusement que le s6 ainsi que les autres rattrapent le tire, mais bon il aura fallut du temps :-/