Tweeter

Selon les conclusions des travaux menés par l'Université de Cambridge, l'écosystème Android est toujours le parent pauvre de la sécurité et les utilisateurs sont tous exposés à des attaques.

Les chercheurs ont recueilli les données de 20 000 terminaux Android différents, avec une majorité de mobiles de grands constructeurs comme Samsung, LTG, HTC, et Motorola (1).

L’étude, en partie financée par Google, est toujours en cours.

À partir des données récoltées, le groupe de Cambridge a mis au point une grille pour voir à quelle vitesse les grands fabricants livraient les dernières mises à jour de sécurité pour leurs terminaux.

La réactivité est un facteur important pour la protection des terminaux mobiles.

Or, sous Android, entre le moment où les mises à jour sont disponibles et celui où les fabricants les déploient sur leurs terminaux, il se passe plusieurs mois.

Quand Google livre une nouvelle version ou un correctif de sécurité, les fabricants doivent intégrer le nouveau code dans leurs propres versions Android avant de la diffuser à tous les propriétaires.

La procédure est encore plus compliquée avec des mobiles fournis par les opérateurs, car ces derniers doivent également tester et approuver les mises à jour avant leur déploiement.

La manière de fonctionner de cet écosystème est donc bien différente de celle adoptée par Apple pour iOS, puisqu’il suffit à chaque utilisateur d’iPhone ou d’iPad ou même d’Apple Watch de cliquer sur un bouton pour recevoir la mise à jour.

L'équipe de Cambridge a établi une grille FUM pour comparer la sécurité des différents dispositifs :

F indique le nombre de terminaux sans vulnérabilité critique,

U le nombre de terminaux disposant de la mise à jour la plus récente

M le nombre de vulnérabilités que le constructeur n’a toujours pas corrigées.

Comme le montre leur graphique, les appareils Nexus arrivent en tête du palmarès, suivis des mobiles du constructeur LG.

Les résultats donnent une bonne photographie de la façon dont les fabricants gèrent la sécurité de leurs terminaux Android.

Même après l’engagement de livrer des mises à jour de sécurité régulières, les appareils Nexus est le seul à obtenir un score de plus de cinq sur 10.

Il est encore trop tôt pour estimer l'efficacité des correctifs mensuels.

Par ailleurs, la livraison de correctifs mensuels ne résout pas le problème du déploiement, car, hormis les mobiles vendus au prix fort ou les téléphones débloqués, les opérateurs gardent toujours la main sur la diffusion des mises à jour.

Ce tableau (la note est sur 10) résume comment les fabricants de terminaux Android appliquent les mises à jour de sécurité de Google.

Selon le chercheur Daniel Wagner:

 « Google fait ce qu’il faut pour atténuer un certain nombre de risques et nous recommandons aux utilisateurs de télécharger leurs apps uniquement sur le Play Store de Google, car la plateforme effectue des contrôles de sécurité supplémentaires ».

« Malheureusement, Google ne peut pas tout faire, et les récents problèmes de sécurité sous Android ont montré que cela ne suffit pas pour protéger les utilisateurs.

Les mobiles doivent aussi recevoir des mises à jour des fabricants, et la majorité d’entre eux ne reçoivent pas de correctifs.

Mais, si les utilisateurs se limitent aux apps disponibles dans le Play Store et évitent de télécharger d’obscures applications sur des plateformes non contrôlées, la situation peut s’améliorer ».

 (1) Les données qui ont servi à l’étude de l’Université de Cambridge sur la vulnérabilité des terminaux Android ont été collectées via l’app Data Analyzer publiée sur le Google Play Store par le groupe de chercheurs.

La procédure a permis à un grand nombre d’utilisateurs de participer à l’enquête.

Toutefois, elle a exclu tous les mobiles n’ayant pas accès aux services Google Play, en particulier les terminaux Android des marchés émergents n’ont pas été pris en compte.

Le site AndroidVulnerabilities.org permet de voir les derniers scores établis par l'équipe de l’Université de Cambridge.