Ne craignez pas les virus et autres logiciels malicieux sur Android. C’est grosso modo le message qu’a voulu faire passer la semaine dernière Adrian Ludwig, directeur de la sécurité d’Android chez Google lors de la Virtus Bulletin Conference à Berlin.
En effet, selon le responsable, seul 0,001 % des applications téléchargées par les utilisateurs d’Android finit par avoir un effet néfaste sur leur terminal. Plus étonnant encore que cette déclaration, les statistiques avancées par la firme de Mountain View incluent non seulement les applications téléchargées du Google Play mais également toutes celles installées par un utilisateur sur son appareil Android.
Cet aspect quasi impénétrable d’Android selon Ludwig est dû à la stratégie multicouches de la plateforme, contrairement à celle d’Apple qui vérifie en amont toutes les applications avant de les proposer sur l’App Store. Ainsi, Ludwig fait tomber le préjugé selon lequel Android est un véritable terreau de cybercriminalité, comme laissait entendre il y a quelques mois Kaspersky, adepte de la « stratégie de la peur ».
Si les chiffres présentés par Google sont presque impossibles à vérifier, Ludwig a tenu à rassurer : le service Verify Apps, dont sont pourvus 95 % du parc, peut éradiquer rapidement les malwares, même lorsqu’ils proviennent d’applications installées via des sources autres que le store officiel de Google.
1 200 applis sur un million
De plus, le responsable ajoute que plusieurs avertissements sont envoyés au mobinaute lorsque celui-ci tente tout de même d’installer une application malveillante. Dans le langage des chiffres, ce sont 1 200 applications sur un million qui présentent des risques. Parmi elles, 40 % tentent d’envoyer des SMS surtaxés ou d’émettre des appels à votre insu. C’est ce que l’on appelle du fraudware. Un autre 40 % concerne les applications qui permettent de rooter votre téléphone. Il ne s’agit pas techniquement de code malicieux mais Google les considère comme tel. Enfin 15 % sont des spyware commerciaux. Pour le reste, il s’agit d’applications contenant des codes malicieux divers.
Et en parlant de codes, Ludwing ajoute que cette défense naturelle d’Android vis-à-vis des malwares découle directement du modèle ouvert d’Android voulu par Google. En effet, la publication du code source du système d’exploitation a elle-même contribué à l’amélioration d’Android. À ce propos, la non moins connue NSA (National Security Agency) américaine a développé un programme appelé SE-Android visant à améliorer l’OS de Google. Ce projet, lui aussi open source (de sorte que vous puissiez surveiller ce que la NSA a fait du code) a apporté plusieurs nouveautés, qui ont été ajoutée aux différentes moutures d’Android. Ceci est un exemple qui prouve la solidité d’Android, qui émane de son aspect ouvert à tous.
Mais ne nous leurrons pas. Les propos de Ludwig ne devraient tout de même pas vous inciter à aller télécharger à tout va sur n’importe quel store alternatif. Sachez qu’il existe certaines applications qui trichent. Better Tomorrow Apps, qui se base essentiellement sur des statistiques, est arrivé à la conclusion selon laquelle il existe 9,2 % de chances que votre smartphone Android contienne une application qui pourrait uploader des photos prises silencieusement à votre insu. Nous vous avions d’ailleurs déjà parlé de ce problème auparavant dans le cadre d’un dossier sur la sécurité liée à Android. Nous vous disions il y a un an à quel point il était important de faire attention aux autorisations que vous octroyiez aux applications téléchargées.
Prudence donc avant d’installer vos applications. Lisez impérativement tous les droits que les applications veulent s’octroyer avant leur installation. Ainsi, aucune application malveillante ne pourra sévir sur votre smartphone.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
Plutôt que de chercher l'origine du 9,2%, ce qui serait intéressant de savoir, c'est d'où provient l'image. Pas de la source citée en tout cas.
Ça, c'est de la réponse bateau...
2 ans, et aucun problème non plus...
Exactement ! cf mon dernier paragraphes, d'ailleurs. En prenant des raccourcis honteux on fait dire n'importe quoi aux chiffres (moi le premier, en poussant exprès le bouchon pour que ça ressorte bien, ce que tu as remarqué, mais pas compris), surtout quand lesdits chiffres sortent de nuls part (cf le 1/250) pour le changer 1 dev sur 250 en 1 sur 20, c'est simple et très moche. C'est basé sur un résonnement biaisé, par exemple : 1 dev sur 250 est un pirate qui utilise la méthode X 1 appli sur 250 utilise la méthode X donc 100% des appli qui utilisent la méthode X est développée par un pirate. Les infographies à la con franchement, c'est quasi toujours le cas, quand c'est pas pire (le plus classique étant la mise en relation de 2 données non liées) Tient, petit jeu, explique le 9,2% de "l'étude" et si ça te parait pas un gros WTF.
Toi, t'as pris un grand raccourci. - 239, c'est le nombre moyen d'applications installées sur un smartphone en comptant celles du système en lui-même. Ces 19 applications représentent donc 8% des applications qui sont potentiellement dans ton smartphone, pas 8% du Play Store. - Comment tu arrives à changer le "1 dev sur 250" en "1 dev sur 20" ?? Surtout en te basant sur le "nombre de développeurs d'applis ayant de tels droits". D'où sort ce chiffre? - À partir de là, tu parts en sucette, tous tes chiffres sont des aberrations. En fait, c'est toi qui fais dire n'importe quoi aux chiffres avec des élucubrations totalement déformées par une réflexion alambiquée.
Ou alors, on fait juste gaffe à ce qu'on installe...
Mais pourquoi "plus sécurisé" ? pourquoi ne pas dire "aussi sécurisé" ? Sous ios on te demande les autorisations au premier accès une fois l'appli lancée, et tu peut enlever des autorisations individuellement par appli postérieurement dans les réglages ...
Le but de l'article, malgré quelques maladresses narratives reconnues par LauCass un peu plus haut dans les commentaires est de parler de l'OS de base et dire qu'a moins d'y faire n'importe quoi, est plus sécurisé. Personne ne nie le nombre élevés d'applis malveillantes. Comme personne responsable qui possede plusieurs androphones, tablettes, iPhone, et iPad (oui, je développe des applis sur les 2 OS), je sais que mes contacts, mes mails et l'accès à Internet est clairement indiqué sur mon androphone et pas sur mon 5S. J'agis donc en conséquence, et si tu penses que l'App Store et l'iPhone sont super sécurisés, c'est ton opinion, et c'est sympa de le partager!
Ce qui compte c'est les faits réelles et non les rapports de compagnies qui vendent des solutions de sécurité : la réalité c'est qu'il n'y a pas de malwares ou virus sous ios malgré l’important parc installé ( donc intéressant pour une attaque ) ... Donc oui ios est plus sécurisé que android, on a une probabilité pratiquement nulle d’être infecté ... après les raisons on s'en tape un peu, il faut juste retenir que c'est ainsi.
http://techcrunch.com/2013/04/16/symantec-mobile-malware/?utm_source=feedly Si tu es un peu intéressé par l'article et même l'original de Symantec (et de nombreuses autres analyses) reconnaissent qu'iOS comporte beaucoup plus de failles de sécurité qu'Android. Ici 387 contre 13 pour Android. Maintenant ils arrivent à la même conclusion: il y a plus d'applis malveillantes sur Android car lire les contacts, envoyer des SMS, et la publication via divers moyens sont des fonctions prévues par le système de permissions. Si on en tient pas compte et qu'on les installe, bien on s'en orend plein la gueule, mais ce n'est pas l'OS qui est non sécurisé pour autant. Concept pas facile à assimiler, je l'admets...
"Pour laquelle Android est réellement beaucoup plus sécurisé qu'iOS" Et pourquoi donc "beaucoup plus sécurisé" ?
cela ne l'empeche pas d'être sécurisé...
Il suffit de ne pas écrire ses identifiants Apple, Google, ou n'importe quoi dans une appli. C'est disponible chez tous les opérateurs et toutes les marques de téléphones depuis Android 0.0
La même, 3 ans et aucun malware ^-^
Parles d'applications sur Android et navigateurs web ou des applications natives classiques (comme sur GNU/Linux, *BSD, Windows, etc) ?
mouais c'est pas parce qu'une appli est sur le google play, qu'elle n'a pas de virus ou des permissions intrusives au niveau de la vie privée hein?
normalement a partir du moment ou le tel n'est pas rooté les applis n'ont pas acces au droit SU et je dit que j'ai plus (+) confiance en une appli ou je voie ce qu'elle veut comme droits plutôt qu'une appli qui prendre ces droits sans le signaler....
Je suis tout à fait d'accord. Mais étant donné qu'il y a un système d'autorisation dans Android et dans les navigateurs web, je ne comprends pas ta remarque. Si tu parles des applications qui ont besoin des droits SU, il faut effectivement faire très attention.
je fait plus confiance a une appli qui me dit qu'elle demande de tel autorisations qu'à celle qui ne me le dit pas..... et qui le ferais a mon insu....ce ne sont pas les applis qui demande les autorisations qui sont a craindre, mais celle qui ne vous préviennent pas....
prés de 4 ans aussi et pas de problème avec un malware...
Le sandbox étant software il est contournable via des failles qui peuvent éventuellement être trouvées. Ce que Google veut dire, c'est que son sandbox fonctionne bien, pas grand chose en plus.
C'est ce que l'on appelle une fonctionnalité, pas un probleme de sécurité. L'éternel débat du couteau qui est un objet utile, mais qui peut tuer.
Moi j'y crain pas!!! :P
Le choix n’est pas toujours facile, mais dans un bon nombre de cas il n'ets pas très dérangeant de faire le "choix de la conscience". Par exemple, certaines applications sont peu utiles ou remplaçables (les jeux notamment). Pour ce qui est des réseaux sociaux, ils ont tous des sites web avec interface mobile qui marchent très bien, il manque juste les notifications sinon il me semble qu'il y a peu de différences.
Déjà, si 19 appli on les droits internet+photo sur 239, ramené ça de façon completement fausse au market, ça voudrait dire 8% des appli du market possède de tels droits. Si 1 dev sur 250 et un créateur de spyware photo, ramené au nombre de créateurs d'appli ayant de tels droits (qui pour eux représente donc 8% du parc applicatif) ça voudrait dire qu'1 dev sur 20 créant des appli avec de tels droit est un créateur de spyware (le 1 dev sur 250 faisant automatiquement partie des 20 dev bossant sur de telles appli, non ?) , cela veut dire qu'on a 1 chance sur 20 app de tomber sur un spyware en installant que des apps ayant de tels droits - un créateur de spyware photo créant par définition des apps avec ces droits. sur une moyen de 19 app avec ces droits, ça fait donc 95% Comme quoi ont peut faire dire vraiment n'importe quoi en prenant n'importe quels chiffres et un raisonnement bidon. Suffit de mettre de la couleur pour que ça passe.
Merci c'est tout ce que je voulais savoir :) parfait
oui et quand tu veux pas bidouiller est rester en rom stock (comme moi) tu fais comment ?
ou alors tu ne t'en es pas rendu compte...
moi je le fais, mais si je voulais vraiment respecter mon choix de consience, je ne pourrai rien installer, car si on veut refuser un seul droit on se voit refuser l'installation de l'appli...
"Lisez impérativement tous les droits que les applications veulent s’octroyer avant leur installation", si seulement gens le faisaient... On ne se retrouverait pas avec des autorisations peu justifiables pour Facebook : * lire les statistiques de la batterie * prendre des photos et filmer des vidéos * ignorer les autres applications * lire et modifier le journal d'appels De même pour Angry Birds et sa localisation, le dernier nécessitant mettre de prendre des photos... Bien entendu, ce cela est justifié pour des événements (qui en a déja croisé ?) et pour les figurines (qui vont être utilisé par 0.01% des utilisateurs). Récément, SliceIt nécessite l'accès au journal d'appels et aux contacts. Il y a tellement d'exemples comme ces derniers d'applications considérées comme "propres" qui ne le sont pas.
Toutes les applis sont sandboxées. La sandbox isole l'application. Elle n'a pas accès au filesystem, mais uniquement à des ressources via des API en fonction des autorisations accordées. C'est également grâce à ce système que l'on peut retirer des droits à des applis sans compromettre leur fonctionnement. Ex: si je révoque l'accès aux contacts à une appli qui le requiert, elle recevra une liste vide à chaque fois qu'elle interrogera le répertoire. Seule une application qui obtient le root peut accéder aux ressources même du système et il n'est pas question de protection ici puisque si l'on accorde le root c'est justement pour lever les protections. Mais encore une fois, ceux qui prennent la peine de rooter sont censés savoir ce qu'ils font.
Une appli qui requiert l'accès root ? Un bon moyen pour justement ouvrir la porte à tout et n'importe quoi si on ne fait pas attention.
Cyanogen propose un mode protégé pour que les applis ne puissent pas accéder aux contacts, etc etc... Tous mes jeux (et Facebook) sont systématiquement passées dans ce mode
Quand on voit le nombre de gens qui ne connaissent même pas le Play Store déjà ^^
La solution c'est LBE privacy !
D'accord je vois alors, c'est ce qu'il me semblait. Après plus que temps Google peut rien faire. Encore une petite question, quand elle est Sandboxée, elle ne peut pas accéder à certaines ressources du système comme c'est possible si elle est exécutée directement sans protection?
Cela n'empêche pas qu'elles puissent récupérer certaines informations comme les contacts, les SMS et tout un tas d'autres informations à partir du moment où elles déclarent la permission associée.
Oui, mais dès lors qu'elles demandent telle autorisation, l'accès aux ressources est permis. En somme le problème vient de l'utilisateur, non de la plateforme.
Noon! Un malware?!? N'importe quoi... C'est juste ...une application!
Les applications sont Sanboxées, elles sont donc isolées du système non?
A part ça j'ai du réinitialiser mon téléphone 3 fois mais bon...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
C'est quoi ce calcul fait par Better Tomorrow Apps ? "Si un développeur sur 250 est un créateur de spyware"; pourquoi pas 1 dev sur 100 ou sur 1 sur 1000. Ça ne veut rien dire. On peut trouver n'importe quel résultat avec ce genre de raisonnement. En plus il s'agit d'un éditeur d'une application de sécurité qui bloque la caméra. Donc pour l'objectivité on reviendra.
Merci pour la pertinence du commentaire, c'est exactement ce que je voulais dire :)
Quand est ce que les gens arriveront à faire la différence entre la sécurité de la plateforme (Pour laquelle Android est réellement beaucoup plus sécurisé qu'iOS) et les applications malicieuses? Une application qui "vole" les données et qui les envoie à un serveur tiers en affichant clairement les permissions ACCESS_CONTACT et INTERNET ne remet pas en doute la sécurité de la plateforme. (et c'est sur les chiffres des applications malicieuses que Google est effectivement le mauvais élève) Il faut faire la différence entre les deux problèmes et je suis plus rassuré avec la plateforme qu'avec les applications.
Bon il faut aussi penser que l'ENORME majorité des personnes ne vont pas aller chercher des applications en dehors du Play Store, donc elles risque à proprement parler rien du tout.
Euh,.... Si quelqu’un est assez stupide pour donner son identifiant Apple à une application inconnue à qui la faute? Je pense pas que Google soit responsable. L’application ne violait certainement pas les conditions de Google et a donc été validée.
mouais pas convaincu, on a vu y pas si longtemps que ça sur le store une appli imessage (non officielle certes) mais qui récupérait les identifiants itunes alors sécurité... Il faut en revenir encore et toujours à ce que je demande depuis toujours (sans passer par une appli tierce ni root ni rien d'autres) à ce que l'utilisateur puisse gérer lui même les droits d'une appli qu'il installe. Car moi je refuse l'installation de certaines applis (pourquoi un jeu veut voir mes contacts !) alors qu'une gestion sur les droits me permettrait de l'installer !
Pendant ce temps, les ricains se moquent de Schmidt: http://www.pcinpact.com/news/82795-eric-schmidt-android-est-plus-securise-que-l-iphone.htm
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix