Polémique autour de la sécurité d’Android
Rien ne va plus entre les fournisseurs de solutions de sécurité pour terminaux et Google. Ou du moins avec Chris DiBona, responsable des programmes Open Source et Secteur Public de l’éditeur qui les accuse, dans un billet de blog, de crier au loup et de se comporter en charlatans. Quitte à oublier au passage certains éléments peu flatteurs pour la plateforme mobile de l’éditeur.
Chris DiBona, responsable des programmes Open Source et Secteur Public de Google, n’est pas tendre avec les éditeurs d’anti-virus. Selon lui, depuis des années, ces éditeurs «jouent sur vos peurs pour vous vendre leurs logiciels de protection pour Android, RIM et iOS. Ce sont des charlatans. Si vous travaillez pour une entreprise vendant des protections contre les virus pour Android, RIM ou iOS, vous devriez avoir honte de vous-même». Voilà ce que l’on peut appeler un gros pavé dans la mare.
Son écho est d’autant plus retentissant que les rapports trimestriels des spécialistes de la sécurité commencent à tomber. McAfee, par exemple, vient tout juste de publier son rapport pour le 3ème trimestre 2011. Et l’on peut y lire que «les logiciels malveillants pour mobiles ont encore augmenté au 3ème trimestre. La plateforme Android continue d’être la cible privilégiée des cybercriminels, avec une augmentation des menaces de 37 %», par rapport au second trimestre. Au total, McAfee recense plus de 1200 échantillons de code malveillant pour terminaux mobiles, dont près d’une centaine pour Android - contre aucun au premier trimestre 2010. Pour Websense, la troisième tendance lourde de 2012 sera le ciblage, par les cybercriminels, des terminaux mobiles : «ce phénomène est prédit depuis de nombreuses années mais il n’a réellement débuté qu’en 2011.»
Au printemps, c’était Cisco qui jetait de l’huile sur le feu. Henry Stern, ingénieur sécurité du CSIRT de Cisco expliquait que les progrès réalisés sur le poste de travail allaient déplacer la menace vers les plateformes mobiles qui, selon lui, offrent souvent des vulnérabilités comparables. Et en février, les mobiles constituaient clairement un sujet vedette de la conférence RSA de San Francisco.
Pour partie, Denis Maslennikov, analyste chez Kaspersky, ne contredirait probablement pas Chris DiBona : lorsque nous l’avions interrogé, en février dernier, il reconnaissait bien volontiers que la menace restait très limitée pour iOS : «on a bien vu deux logiciels malveillants apparaître fin 2009, mais ils ne concernent que les terminaux jailbreakés.» En ce qui concerne la plateforme Blackberry, il indiquait alors n’avoir découvert que des logiciels espions - commerciaux de surcroît.
Pour Chris DiBona, «aucun téléphone mobile majeur ne souffre de problème de virus au sens traditionnel, que l’on a vu sur les machines Windows et parfois sur Mac. Il y a eu quelques petites choses mais elles ne sont pas allées très loin en raison des modèles d’isolement des processus (sandboxing) et de la nature des noyaux sous-jacents ». Denis Maslennikov relevait de son côté, lors de notre entretien, l’existence de logiciels visant à «détourner certaines fonctions du téléphone pour gagner de l’argent», en envoyant par exemple des SMS surtaxés à l’insu de l’utilisateur. Et c’est sans compter sur des chevaux de Troie permettant de construire des botnets et autres réjouissances.
En fait, Chris DiBona semble avoir à la fois tort et raison, et pêcher simplement par maladresse. En fin de billet, il souligne être sûr que des gens vont «maintenant évoquer quelque ver ou logiciel malveillant téléchargé sur un App Market [...] ce qui entraînera une discussion sans rapport avec le sujet ». Las, le sujet est amené par Chris DiBona lui-même sur le terrain de la sécurité des mobiles. Et les faits ne plaident pas totalement en faveur de son argumentaire.
Mais le responsable des programmes Open Source de Google veut d’abord tordre le cou à l’idée selon laquelle Open Source rimerait avec insécurité. Et là, un audit du code d’Android mené par Coverity en 2010 lui donne largement raison. Pour établir son rapport, le spécialiste de l’analyse de code source avait étudié la version 2.6.32 (Froyo) d’Android : 359 bogues découverts, dont 25 % classés très critiques... des chiffres largement inférieurs à la moyenne enregistrée par d’autres projets Open Source. Coverity concluait d’ailleurs que «le noyau Android utilisé par le HTC Droid Incredible [le terminal étudié, NDLR] contenait presque moitié moins de bogues que la moyenne généralement constatée pour un logiciel de cette taille ».
Toutefois, Coverity émettait quelques réserves quant aux briques de code propres à Android - celles qui ne font pas partie du noyau Linux. Celles-ci souffraient d’une densité de défauts supérieure à la moyenne. Mais ces défauts profitent de l’ouverture du code pour être rapidement corrigés.
Reste un point souvent reproché à Android et passé sous silence par Chris DiBona : la fragmentation de la communauté. Coverity n’avais pas manqué de le souligner : Android, comme l’Open Source en général, repose sur des centaines de contributeurs, provenant de Google, de la communauté Android et des constructeurs OEM de terminaux. Difficile, en somme, d’appréhender Android, sous l’angle de la sécurité comme sous d’autres, à la manière d’un écosystème monolithique et homogène.