Android : un bilan de sécurité 2018 positif, mais imparfait

Entre brochure technique et dépliant commercial

Le 04 avril 2019 à 13h04

12 min

Société numérique

Google a récemment publié son bilan de sécurité 2018 pour Android. L’occasion pour l’éditeur de rappeler ses efforts dans le domaine, qui ne doivent pas faire oublier certaines réalités sous-jacentes.

Plus de deux milliards : c’est le nombre d’appareils actifs sous Android en circulation selon Google. Dix ans après la première version, le monde de la téléphonie a beaucoup changé, mais les problématiques de sécurité sont toujours aussi vives. Elles n’ont fait que se déplacer et chaque mouvement de l’éditeur est suivi d’une adaptation des pirates.

Le bilan de sécurité que dresse Google pour 2018 a en partie de quoi réjouir, si l’on s’en tient aux seuls chiffres fournis. L’entreprise vante la transparence de ses processus de sécurité, tout particulièrement via son programme de récompense pour les failles signalées par des chercheurs et autres tiers. En 2018, plus de 3 millions de dollars ont ainsi été distribués.

Voici les principales tendances que nous pouvons tirer de ce rapport.

Lire le bilan de sécurité d'Android 2018 (en anglais)

Une baisse de 20 % du nombre d’infections

Parmi les chiffres lancés par Google, certains sont particulièrement intéressants, tant qu’ils sont replacés dans un contexte plus global. Par exemple, 0,45 % des appareils « seulement » auraient exécuté un code malveillant en 2018, toutes versions d’Android confondues. Une baisse de 20 % du nombre d’infections, par rapport aux 0,56 % de 2017.

Le bilan est également l’occasion pour Google de vanter les mérites de son Android Pie, puisque sur cette plateforme, 0,18 % des installations d’applications étaient des PHA (Potentially Harmful App), contre 0,65 % sur Android 5.0, qui réalise le plus mauvais score. Des chiffres guère étonnants puisque chaque mouture du système apporte de nouvelles protections.

Notez que Google sépare pour la première fois les PHA « souhaitées » et « non souhaitées » par l’utilisateur. Comment pourrait-on désirer une PHA ? Parce que dans « Potentially », Google nuance l’aspect malveillant d’un code exécutable.

Une application conçue par exemple pour rooter le système est perçue par Protect comme une « agression ». L’éditeur tâche de rassembler dans une catégorie spécifique celles que les utilisateurs peuvent vouloir installer en toute connaissance de cause. Il n’y a par contre aucune chance de les trouver sur le Play Store.

Une évolution positive donc, a priori à périmètre égal puisque ces chiffres ne sont récupérables que si le Play Store est actif sur l’appareil, ce qui n’est pas le cas de tous, loin de là. Android est en effet installé sur une grande variété de produits. Les constructeurs l’utilisent pour des besoins divers, parfois sans boutique et presque sans mises à jour.

Toujours selon Google, le nombre total de malwares aperçus – qui n’est pas donné – a chuté de 15 %. Là encore, un chiffre à prendre avec des pincettes puisqu’il ne concerne que les PHA que Google Protect a su repérer.

Un Play Protect que Google n’hésite pas à présenter comme « la solution de protection contre les menaces sur mobiles la plus déployée au monde ». Avec plus de deux milliards d’appareils, on le croit sans peine. Protect analyserait 50 milliards d’applications chaque jour (sic). Un chiffre à relativiser en partie puisqu’il correspond à l’ensemble des applications scannées sur les appareils où Protect s’exécute.

N’oublions pas non plus que même si Protect est actif, il ne fait pas que surveiller les seules applications provenant du Play Store. Google le sait et laisse les chiffres parler d’eux-mêmes. 0,68 % des appareils ayant activé les sources tierces d’installation pour les applications ont ainsi exécuté au moins une fois du code malveillant. Ce chiffre tombe à 0,08 % pour ceux ne se fournissant que dans la boutique officielle de Google.

Petite précision : Protect informe depuis l’année dernière les utilisateurs quand ils exécutent une application sur laquelle peu d’informations ont été collectées, avec l’éventuel risque que cela représente.

Android sécurité 2018

L’occasion bien sûr pour Google de rappeler que la meilleure sécurité s’obtient via son Store. Sans pour autant oublier que même si 0,08 % « seulement » des appareils y ont installé une PHA, ce n’est pas rien. Même en limitant à 500 millions d’appareils – soit moins d’un quart du parc Android total – le chiffre représente tout de même 400 000 smartphones et tablettes. On est loin d’un score anodin.

L’éditeur braque cependant ses projecteurs sur les éléments participant à la sécurité générale :

Les programmes de récompenses financières pour les failles trouvées
Les compétitions de sécurité (dont Mobile Pwn2Own)
Les partenariats avec des chercheurs
Les programmes spécifiques avec certains OEM (dont Android One),

Mais aussi l’analyse des applications envoyées pour validation au Store. À ce jour, cela représente 300 000 développeurs aidés sur un ensemble d’un million d’applications.

La fin du rapport fait le listing de toutes les principales familles de PHA, comme Chamois (l’une des principales en 2018 avec presque 200 millions d’installations), Snowfox (un faux SDK dédié à la publicité), Cosiloon (combattu grâce à une collaboration avec Avast), BreadSMS (11 millions d’installation, mais 98 % provenant du Play Store), ou encore View SDK (dédié à la fraude au clic sur les publicités).

Un combat spécifique contre les malwares préinstallés

Google signale un renforcement des tentatives de préinstallations des PHA (donc cette fois exclusivement non souhaitées). L’éditeur y voit trois raisons possibles.

D’abord, les pirates n’ont potentiellement qu’à circonvenir le constructeur ou n’importe quel acteur de la chaine pour disséminer en masse un code malveillant. Ensuite, un malware préinstallé permet d’autant plus facilement de placer d’autres charges virales en fonction du contexte et des objectifs. Enfin, certaines familles de PHA se servent de failles pour rooter l’appareil. Une méthode très efficace mais rendue plus complexe par les versions récentes d’Android.

Cette recrudescence a forcé Google à réagir, notamment à travers des informations envoyées aux développeurs. Une mise en garde particulière a été faite contre certains SDK vérolés, présentés comme pouvant résoudre bien des problèmes ou, plus simplement, des kits existants mais modifiés à des fins malveillantes et proposés sur des miroirs de téléchargement.

Il est plus difficile d’intervenir sur la chaine menant de la construction à l’utilisateur final. La situation est particulièrement visible dans certains gros marchés comme le Brésil et l’Inde. Au Brésil (quatrième plus gros marché Android), pas moins de quatre des dix PHA les plus courantes étaient préinstallées sur des appareils provenant d’un seul OEM. En Russie (cinquième marché), ce score grimpe même à 7 sur 10, démontrant le danger de la situation.

Ce problème a ses réponses spécifiques. Google a lancé en 2017 un programme dédié à l’analyse des images système, en tout cas celles provenant de constructeurs se servant des Play Services.

L’année dernière, le programme s’est davantage structuré et a pris un nom officiel : Build Test Suite. La BTS ressemble à la Compatibility Test Suite mais se focalise sur l’intégrité et la sécurité de l’image système. Selon Google, durant sa première année d’activité, elle a pu empêcher 242 images d’être déployées sur des appareils avant leur commercialisation, donc d'entrer dans l'écosystème applicatif.

La BTS a cependant deux limitations. Tout d'abord elle cherche l’ensemble des PHA connues, ce qui peut rapidement montrer ses limites au vu du foisonnement permanent dans ce domaine. Surtout, elle est optionnelle, uniquement proposée aux constructeurs souhaitant fournir les Play Services avec leur copie d’Android.

Le processus reste intéressant en ce qu’il a permis un dialogue avec les OEM et une analyse multipartite des causes. Des faiblesses ont été identifiées dans les processus, permettant selon Google une amélioration générale de la sécurité.

Du mieux également pour les correctifs, mais…

La sécurité globale sur la plateforme Android ne peut pas être résumée aux seuls malwares. Ces derniers ont, comme toujours, différents degrés d’efficacité et peuvent profiter de failles du système non colmatées pour s’y incruster profondément et dérober des données sans la moindre interaction nécessaire de l’utilisateur.

Selon Google, la situation s’améliore dans ce domaine : durant le quatrième trimestre 2018, le nombre d’appareils à avoir reçu une mise à jour de sécurité a grimpé de 84 % par rapport à la même période l’année précédente.

Un chiffre élevé mais ne reposant sur aucune valeur absolue. Et c’est sans doute parce que cette donnée serait beaucoup plus révélatrice de la situation actuelle que Google se contente d’un gros pourcentage. Une hausse si « spectaculaire » qu’elle pointe surtout une situation à laquelle il fallait remédier.

Google évoque une conjonction de facteurs dont le programme Android Enterprise Recommended (spécifique au monde professionnel avec des protections supplémentaires) et les révisions des accords avec les OEM.

Depuis octobre dernier par exemple, tout appareil sorti après le 1^er janvier 2018 et se vendant à au moins 100 000 exemplaires tombe sous la coupe d’obligations renforcées. La durée d’entretien logiciel minimale est passée de 18 à 24 mois. En outre, et surtout, le constructeur doit impérativement diffuser un minimum de quatre mises à jour de sécurité dans l’année. Plus spécifiquement, les OEM ont l’obligation de corriger les failles connues depuis plus de 90 jours.

On est loin du cas idéal bien sûr – 12, une par mois – mais le changement a représenté une nette amélioration de la situation, certains constructeurs ayant eu des politiques particulièrement aléatoires d’entretien. Bien entendu, les clients de smartphones plus haut de gamme ont des chances accrues d’avoir de vraies mises à jour mensuelles.

Ce processus plus fluide de diffusion des correctifs vient en partie d’un autre grand apport mis en avant par Google : Treble. Pour rappel, ce projet au long cours consiste à mieux séparer la base fixe d’Android de sa partie modifiable. Une isolation entrainant une mise à jour simplifiée du socle technique, les constructeurs sachant précisément quoi retoucher.

Cela étant, Treble ne s’applique qu’aux versions 8 et 9 d’Android, donc aux appareils relativement récents. Et c’est bien là que le bât blesse, tout particulièrement pour Pie. Car même aujourd’hui, six mois après les premières diffusions du système, il n’apparaît toujours pas dans les chiffres officiels de fragmentation d’Android fournis par Google. Traduction : il représente moins de 0,1 % des appareils se connectant au Play Store.

Sa part de marché reste donc négligeable alors que Google en vante régulièrement les mérites dans son bilan, décrivant par exemple « une myriade de super fonctionnalités de sécurité », comme une sandbox applicative renforcée et des API « durcies ».

Un exercice salutaire mais perfectible

Que retenir finalement de ce bilan de sécurité ? Que la situation générale s’améliore, mais seulement au terme d’un travail intense réalisé en interne et partenariat avec des chercheurs et les constructeurs eux-mêmes. La volonté de serrer la vis est évidente, après de nombreuses années où les fabricants étaient très (trop ?) libres dans leurs pratiques.

Mais si les efforts dans ce domaine sont louables, l’exercice de publication d’un rapport de sécurité est largement améliorable. Les données fournies par Google sont parcellaires, avec de nombreux pourcentages sans valeurs absolues, rendant difficile l’analyse réelle d’une situation déjà complexe à appréhender tant les variables sont nombreuses.

En fin de compte, le rapport de Google rappelle un peu trop les brochures commerciales, l’éditeur mettant souvent en lumière ses forces, tout particulièrement Android Pie. On ne sait pas très bien à vrai dire à qui s’adresse ce rapport, mais il gagnerait clairement dans ses prochaines éditions à être plus transparent et plus neutre dans son approche.

En outre, si la sécurité fait un bond avec chaque nouvelle version d’Android, l’immense parc des appareils est loin d’en profiter. Le fait que Pie représente moins de 0,1 % des connexions au Play Store malgré un lancement à l’automne dernier en dit long. Trop souvent les constructeurs réservent la dernière mouture à leurs téléphones moyen et haut de gamme, tout comme les évolutions majeures du système.

Du point de vue des OEM, on comprend pourquoi : proposer une nouvelle version d’Android réclame du temps et ne peut que retarder l’acte d’achat d’un nouveau produit. De fait, même si la sécurité générale augmente petit à petit, les meilleures défenses restent réservées aux clients d’appareils récents et d’un certain prix.

Les propres statistiques de Google – bien qu’elles n’aient pas été mises à jour depuis octobre – sont parlantes puisqu’un appareil sur deux environ est sous Android 6.0 ou une version antérieure. Or, Google suit un cycle « N-2 » pour ses correctifs de sécurité, Android 7.0 étant ainsi la mouture minimale à posséder pour en recevoir.

La moitié du parc n’est donc plus en capacité de colmater les vulnérabilités.

Commentaires (19)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

tmtisfree

Le 04/04/2019 à 13h32

La moitié du parc n’est donc plus en capacité de colmater les vulnérabilités.

Et ? Mon Samsung Note rooté (2011 ?) n’a jamais vu l’ombre d’un problème de sécurité ou d’anti-machintruc. Rester prudent(e) est la meilleure défense.

wagaf Premium

Le 04/04/2019 à 13h50

Article instructif " />

“Car même aujourd’hui, six mois après les premières diffusions du système, il n’apparaît toujours pas dans les chiffres officiels de fragmentation d’Android fournis par Google. Traduction : il représente moins de 0,1 % des appareils se connectant au Play Store.”

 

Attention, les chiffres n'ont pas été mis à jours depuis octobre dernier, à l'heure actuelle Pie (Android 9.0) est probablement dans les mains d'environ 5% des utilisateurs. Android 7.0+ représentent probablement plus ou moins les deux tiers des utilisateurs.

hellmut Premium

Le 04/04/2019 à 13h59

pour autant que tu sache. ^^

Edtech Premium

Le 04/04/2019 à 14h11

En attendant, mon Lumia 950XL sorti en octobre 2015 a encore des mises à jour et en aura jusqu’à décembre 2019, soit un peu plus de 4 ans.

Ma copine qui a un 830 (octobre 2014) sera lui aussi mis à jour jusqu’à décembre 2019 (5 ans donc).

Apple est assez bon de ce côté aussi il me semble.

Bref, il y a encore du boulot pour Google !

Otiel Premium

Le 04/04/2019 à 14h14

C’pas grave, ça force les gens à changer de téléphone tous les deux ans !

Burn2 Premium

Le 04/04/2019 à 15h11

C’est clair que le problème du suivi des majs de secu sur les tels android c’est affreux….

Google devrait forcer 5 ans de majs de secu…

Je parle bien uniquement de maj de secu, pas de maj de version.

En version d’os la maj dépendant grandement aussi du constructeur du cpu…

Pour l’instant sur 2 tels android récents, je suis satisfait du suivi:

nokia 3.1 pour mon père, maj à android 9P reçu, et patch de secu reçu tous les mois (alors que c’est un tel d’entrée de gamme)

Sony xz1c, un des premiers sous android 9.X et pareil patch de secu reçu de manière très récurrente (c’est de nouveau tous les mois, au pire tous les 2 mois)

Romaindu83

Le 04/04/2019 à 16h42

tmtisfree a écrit :

Et ? Mon Samsung Note rooté (2011 ?) n’a jamais vu l’ombre d’un problème de sécurité ou d’anti-machintruc. Rester prudent(e) est la meilleure défense.
Avoir une rom alternative permet de rendre son smartphone plus sécure lorsque le fabricant du téléphone ne propose plus de mise à jour. Il y a un suivi régulier de ces roms : de nouvelles versions apparaissent régulièrement. Sauf que rooter un smartphone n'est pas facile, contrairement à toutes les foutaises que je peux lire sur le Net. Il faut déjà disposer de la bonne rom et tous les smartphones ne bénéficient pas de roms alternatives. Pour peu qu'il en existe une, il faut ensuite ne pas se louper dans son installation. Les différents tutoriaux, aussi complets soient-ils, ne garantissent pas que la manœuvre sera faite correctement.     
Rooter un smartphone au risque de le rendre inutilisable en vaut-il la peine, notamment pour une question de sécurité ? Ce sera à chacun de voir. A titre personnel, mon avis ne laisse aucun doute à la lecture de ce commentaire.

———————–

Pour le reste, les fabricants de téléphone ne peuvent pas être déclaré irresponsable dans les problèmes de sécurité de leurs smartphones. Ils maintiennent leurs smartphones à jour sur le court terme, laissant des failles de sécurité, parfois très dangereuses, ouvertes. Or, un système d’exploitation, même disposant de surcouche, devrait être maintenu à jour.

Les utilisateurs eux-mêmes contaminent leurs smartphones, en allant surfer sur des sites louches. Les virus pour Android existent. Combien d’entre eux disposent d’un antivirus sur leurs téléphones ? Même certains utilisateurs aguerris rechignent pour en installer un.

Ensuite, il y a les applications. Elles vont se chercher sur le Play Store, à moins d’être certains de ce que l’on télécharge sur un store alternatif. Les APK vérolées sont nombreuses.

Mais… quel utilisateur lambda se soucie de la sécurité de son smartphone ? Interrogez les gens autour de vous (pas des experts, mais le commun des mortels) et vous vous apercevrez assez rapidement qu’une majorité d’entre eux s’en moquent éperdument. Ils ne sont parfois même pas au courant de ces problèmes de sécurité.

tmtisfree

Le 04/04/2019 à 17h18

Romaindu83 a écrit :

A titre personnel, mon avis ne laisse aucun doute à la lecture de ce commentaire.

Il est heureux que tu n’aies aucun doute sur ton avis. À titre personnel bien entendu. " />

Sinon je l’ai rooté non pour une question de sécurité mais pour contourner les limitations techniques de l’interface : il était incompréhensible de ne pas pouvoir régler la densité d’affichage des icônes sur un téléphone. J’ai donc installé ce qu’il faut (ROM et autres) pour obtenir 7x7 icônes par écran au lieu des malheureuses 4x5 initiales. Je ne sais pas si Android a évolué sur ce point mais les iBidules que je vois autour de moi sont toujours aussi mal servis sur ce point.

Je peux te dire que le suivi des ROM tierces est tout aussi lamentable que celui d’Android d’origine même pour un téléphone aussi diffusé que le mien.

wagaf Premium

Le 04/04/2019 à 19h25

tmtisfree a écrit :

Il est heureux que tu n’aies aucun doute sur ton avis. À titre personnel bien entendu. " />

Sinon je l’ai rooté non pour une question de sécurité mais pour contourner les limitations techniques de l’interface : il était incompréhensible de ne pas pouvoir régler la densité d’affichage des icônes sur un téléphone.

Ça devrait être possible avec un launcher alternatif " />

De mon côté mon Google Pixel XL premier du nom a 3 ans, reçoit toujours des mises à jour de sécurité mensuelles, a toujours la dernière version d’Android (9.0 Pie depuis sa sortie l’an dernier) et recevra Android Q " />. Aucun bloatware, toujours fluide, de loin le meilleur appareil photo (récemment détrôné par le Huawei P30 Pro)…

Meilleur investissement jamais fait dans un smartphone, je pense me tourner à nouveau vers un Pixel pour mon prochain..

Notice me Sempai

Le 04/04/2019 à 22h55

J’aurais du me prendre un pixel.

Oliewan Premium

Le 05/04/2019 à 08h04

Malheureusement tout le monde ne peut pas se payer un Pixel, de part le prix et la disponibilité. Si je ne me trompe pas, ils ne sont pas disponibles sur le marché français. Par contre se tourner vers les appareils Android One est une bonne idée. Il y a du choix pour toutes les bourses et, normalement, des mises à jour suivies.

Commentaire_supprime

Le 05/04/2019 à 17h54

hellmut a écrit :

pour autant que tu sache. ^^

+1. Le déni n’est pas un mode de défense, c’est une façon de fuir en vain les problèmes , et surtout ses responsabilités.

wagaf a écrit :

Ça devrait être possible avec un launcher alternatif " />

Souhaitons-le.

De mon côté mon Google Pixel XL premier du nom a 3 ans, reçoit toujours des mises à jour de sécurité mensuelles, a toujours la dernière version d’Android (9.0 Pie depuis sa sortie l’an dernier) et recevra Android Q " />. Aucun bloatware, toujours fluide, de loin le meilleur appareil photo (récemment détrôné par le Huawei P30 Pro)…

Meilleur investissement jamais fait dans un smartphone, je pense me tourner à nouveau vers un Pixel pour mon prochain..

Pour ma part, j’aimerai bien que Lenovo fasse quelque chose pour mon P2, excellent appareil mais bloqué à 7…

Je n’ai pas trop envie de bidouiller dans tous les sens pour changer de version, je vais quand même voir ce qui est requis pour passer à 9 par curiosité.

Notice me Sempai

Le 05/04/2019 à 22h35

Je viens de regarder, mon launcher me permet jusqu’à 7 colonnes et 8 lignes.

Pas vraiment besoin de rooter.

dylem29 Premium

Le 08/04/2019 à 09h01

Pas besoin de root pour installer un launcher.

Notice me Sempai

Le 08/04/2019 à 20h30

je le sais bien. timsfree mentionnait qu’il/elle avait du rooter son telephone pour avoir une plus grande densite.

mango

Le 08/04/2019 à 23h02

Que ce soit un service légitime qui te scanne, ne me dérange aucunement, mais perdre ses données et/ou se faire pirater, c’est autre chose. Et, c’est là que sa vigilance intervient et prend tout son sens.

On sait bien qu’on est scanné à notre insu et quelque soit le procédé de protection employé. Reste que le chiffrage des données perso qui les calmera un petit peu.

mango

Le 08/04/2019 à 23h12

Mon Note 1 m’a permit d’arriver jusqu’à 7. Je pense que ce sera un peu limite pour le 9. Va falloir faire beaucoup de concessions et reannexer une partie mémoire, le plus gros handicap de ce téléphone à l’heure actuelle. Juste pour le Fun , saurait été bien de réécrire… J’ai le Note 9 qui me va très bien pour l’instant.

luckydu43

Le 09/04/2019 à 08h02

“Que ce soit un service légitime qui te scanne, ne me dérange aucunement”

Si on parle d’un service privé, Gmail par exemple, ça devrait être le cas

Tu ne sais pas ce qu’ils font de tes données. Aujourd’hui, c’est de la pub. Demain, c’est ton assurance qui va augmenter ses tarifs, ta banque qui te refuse un prêt, ton gouvernement qui t’assigne à résidence. Ca, ce sont des dérives de la “donnée scannée”.

luckydu43

Le 09/04/2019 à 08h03

Désolé, j’ai oublié de te citer " />