Les entreprises ont besoin d’une stratégie de sécurité pour Android
En peu de temps, Android est devenu la plateforme mobile dominante. Et presque aussi rapidement, les terminaux Android sont devenus l’un des principaux risques de sécurité pour les SI. Et probablement l’un des moins surveillés.
Les terminaux Android semblent s’envoler eux-mêmes des étals. Les chiffres les plus récents de NPD, Gartner, et Canalys, indiquent que près de la moitié des smartphones vendus au cours du second trimestre étaient animés par le système d'exploitation concocté par Google. Une croissance portée par la popularité de terminaux économiques, mais riches en fonctionnalités, signés Samsung, Motorola, et HTC, entre autres.
Comme le rapportent nos partenaires de SearchSecurity.com, cette popularité auprès des consommateurs n’a pas manqué d’attirer l’attention des pirates. De nouvelles statistiques produites par McAfee montrent ainsi que le second trimestre a vu apparaître plus de nouveaux logiciels malveillants pour Android que pour toutes les autres plateformes mobiles combinées. Au cours du mois écoulé, une nouvelle attaque de type "root" par cheval de Troie a été découverte. Un autre cheval de Troie pour Android était capable d’enregistrer communications téléphoniques et messages SMS, et une application Android a même été compromise et associée à un cheval de Troie. Ces incidents ne seraient que la face visible de l’iceberg.
Pourquoi Android est-t-il tellement plus vulnérable que d’autres plateformes populaires telles qu’iOS ou BlackBerry ? Alors que le code source d’Android, aisément accessible, attire beaucoup l’attention, une étude de Symantec publiée en Juin met en avant deux problèmes de la plateforme, tous deux liés à la manière dont elle gère les téléchargements et le fonctionnement des applications.
Tout d’abord, l’absence d’autorité unique de validation des applications - contrairement à iOS et à l’App Store d’Apple - permet aux criminels d’injecter du code malveillant dans des applications qui ne seront virtuellement jamais vérifiées. En outre, bien que chaque application Android soit isolée des autres et de la plateforme elle-même, via un sandboxing par machines virtuelles, une application malicieuse peut être conçue pour tromper l’utilisateur et l’amener à accorder à l’application des permissions supplémentaires qu’elle pourra utiliser pour récolter des données ou conduire des opérations illégitimes sans même télécharger de code supplémentaire sur le terminal de la victime.
«Le fait qu’il soit possible de récupérer des applications de n’importe où, sur la plateforme Android, la menace clairement, » explique John Harrison, directeur de groupe chez Symantec Security Response. Selon Harrison, les entreprises doivent réaliser que les terminaux Android - et virtuellement n’importe quel smartphone - disposent désormais de capacités comparables à celles d’un ordinateur portable ou de bureau. Et qu’ils doivent, en retour, être traités comme s’ils présentaient le même niveau de risque.
Des attaques de plus en plus sophistiquées
Patrick Wheeler, directeur Marketing Produit senior pour les solutions mobiles de Trend Micro, indique de son côté que les données collectées par son organisation, font état d’une croissance de 1 400 % des instances de malwares pour Android, depuis le début 2011. Selon lui, les logiciels malveillants ne sont pas seulement diffusés via des applications pirates mais également via des attaques via le navigateur Web, les mêmes que celles utilisées pour la diffusion de logiciels malveillants sur un ordinateur classique.
«Le niveau de sophistication, dans le monde de l’IT, est aujourd’hui suffisant pour que chacun reconnaisse que la sécurité d’Android ne peut pas être traitée de la même manière que pour iOS ou BlackBerry, ou encore Windows Phone, » estime-t-il. «Toutefois, il existe des solutions pour contenir le risque. »
Que doit donc faire une équipe responsable de la sécurité du système d’information pour contenir le risque induit par les terminaux Android des collaborateurs de l’entreprise ? Pour Wheeler, l’entreprise doit tout d’abord sensibiliser ses collaborateurs aux pratiques de sécurité de référence applicables à tous types de terminaux - mots de passe à la mise sous tension, désactivation de la connexion Wi-Fi automatique, et téléchargement d’applications limité aux sources de confiance. Et de suggérer, en plus, le déploiement de technologies spécifiques telles qu’un agent résident sur le terminal, ou encore une solution plus globale de gestion des terminaux mobiles.
La stratégie revêt également un aspect critique. Selon Harrison, les équipes de sécurité doivent développer des pratiques d’utilisation sûres associées aux tâches métiers quotidiennes des utilisateurs, sur leurs smartphones. Et associer les utilisateurs au développement de ces pratiques. Les équipes de sécurité du SI devraient en outre envisager les scénarios du pire et déterminer les moyens techniques qui seraient nécessaires pour faire face à une perte de données ou à un vol de terminal. D'autant que selon de nombreux experts, la menace liée aux terminaux Android devrait encore progresser.
Wheeler et Harrison estiment toutefois qu’il est possible de protéger la plateforme Android. Mais pour cela, les entreprises doivent comprendre que la croissance rapide de la plateforme et du nombre de logiciels malveillants font qu'il y a urgence à défendre vigoureusement les terminaux Android. Et de rappeler, pas désintéressés, qu'une défense réussie n’implique pas seulement des règles d’usage et de la sensibilisation : des outils techniques spécifiques, cohérents avec les impératifs métiers, et évolutifs, sont nécessaires.