La menace des logiciels malveillants Android ne serait pas si grande
Nombreux sont ceux, dans l’industrie de la sécurité, qui estiment que la plateforme Android est minée par les logiciels malveillants. Mais chez Google, Adrian Ludwig s’est donné pour mission de les éradiquer.
Lors de la dernière édition de RSA Conference, Adrian Ludwig, responsable de l’équipe sécurité d’Android chez Google, a tenu à réfuter l’idée selon laquelle les logiciels malveillants constituent une menace pour les utilisateurs de Google Play, la place de marché applicative de l’éditeur. Et de faire référence à la réaction rapide du géant du Web quand, en février 2013, une vulnérabilité permettant de cacher des logiciels malveillants au sein de certaines applications légitimes a été découverte : Google Play a été mis à jour en l’espace de 24h et un correctif a été distribué aux constructeurs fin mars.
Depuis lors, selon Google, la vulnérabilité en question n’a constitué une menace pour aucun utilisateur. Et malgré toutes les études sur les dangers des logiciels malveillants pour mobiles, Ludwig estime que peu d’entre eux portent réellement à conséquences, et cela malgré ce qui pourrait n’être qu’une impression de peur et de dédain, notamment pour les applications Android, au sein de la communauté de la sécurité.
« Portez-vous un gilet pare-balles en ce moment ? Vous devriez si cela vous inquiète », s’est lamenté Ludwig, faisant référence à certaines menaces du monde physique qui « ont une probabilité [d’occurence, NDLR] bien plus élevée » que les menaces Android.
Logiciels malveillants Android, quand volume n’implique pas menace
A première vue, les chiffres indiquent un début d’épidémie de logiciels malveillants mobiles. Le spécialiste du sujet Lookout a récemment assuré qu’un terminal mobile a, en Russie, 63 % de chances d’être infecté, contre 28 % en Chine. En Amérique du Nord, la probabilité tombe à 4 %. Ce qui n’empêche pas les éditeurs de présenter les logiciels de protection comme une nécessité. En toute subtilité, ils utilisent la progression exponentielle du nombre de logiciels malveillants et des taux de rencontre avec ceux-ci dans le monde entier pour persuader de cette nécessité. Mais les experts de la sécurité estiment que ces chiffres ne reflètent pas avec exactitude la mesure de la menace.
« Il est important de souligner si, oui, le nombre de variantes [de logiciels malveillants] progresse, le niveau de risque de progresse pas massivement avec ce nombre », explique ainsi Marc Rogers, chercheur en sécurité chez Lookout. Pour lui, ce n’est pas parce qu’un terminal mobile se trouve au contact d’un logiciel malveillant qu’il est nécessairement infecté.
Cisco a également relativisé la menace mobile dans l’édition 2014 de son rapport sur la sécurité : bien que 99 % des logiciels malveillants mobiles visent Android, seulement 1,2 % des logiciels malveillants rencontrés sur le Web visent effectivement les terminaux mobiles. Et de mentionner ainsi qu’il reste pertinent de mentionner cette menace parce que, bien qu’émergente, elle n’en constitue pas moins un domaine exploratoire naturel pour les cybercriminels.
Reste un point de léger désaccord : les nouveaux échantillons de logiciels malveillants mobiles apparaissent à un rythme extrêmement élevé. Fin 2013, 1,4 million de variantes ont été détectées, selon Trend Micro, soit près de trois fois plus qu’un an plus tôt. Mais là encore, l’explosion ne se traduit pas forcément par une progression exponentielle du risque. Selon le rapport Alcatel-Kindsight de fin d’année, seulement 0,55 % des terminaux Android ont manifesté un comportement indiquant une compromission l’an passé, contre 0,45 % en 2012. « Il est facile de multiplier les échantillons de logiciels malveillants en espérant infecter plus d’utilisateurs. Mais une victime ne téléchargera qu’un seul de ces chevaux de Troie », relève Kevin McNamee, architecte sécurité et directeur des Kindsight Security Labs. « Ce n’est pas parce que vous générez automatiquement ces choses-là qu’elles représentent une réalité en termes de niveau de menace. »
Editeurs et terminaux limitent la menace
La raison de disparité marquée entre rencontres de logiciels malveillants mobiles et infections est la variété de couches de sécurité intégrées à l’écosystème logiciel mobile. Bien qu’un utilisateur est susceptible de rencontrer un logiciel malveillant sur un site web malicieux, à travers un lien dans un e-mail, via une fausse publicité, les multiples niveaux de protection déployés par l’équipe de sécurité d’Android - et par des logiciels tiers - protègent les terminaux avec une efficacité certaine.
Google teste les applications à la recherche de fonctionnalités malveillantes. Et lorsque certaines sont trouvées, les applications sont signalées comme suspectes et retirées du magasin applicatif. Android vérifie en outre les applications lors de leur installation, puis lors de leur exécution.
Ces multiples couches de sécurité rendent peu probable - quoique non impossible - l’infection d’un terminal en dehors de Google Play. Les experts s’accordent pour considérer que la rencontre de logiciels malveillants se traduit généralement par une infection uniquement lorsque le terminal a déjà été déverrouillé - rooté - ou que l’utilisateur a autorisé l’installation d’applications provenant de magasins applicatifs tiers. Et là, les utilisateurs doivent en tout premier lieu accepter d’installer l’application et désactiver le réglage système interdisant l’installation d’applications provenant de ces magasins applicatifs.
Les données indiquent en outre qu’il est peu probable que des utilisateurs téléchargent des logiciels malveillants à partir de Google Play. Kindsight a analysé plus de 130 000 applications gratuites au cours des trois derniers mois et n’a identifié que 2,3 % d’applications jugées malveillantes par 5 antivirus ou plus, avec VirusTotal. Mais la plupart d’entre elles ne contenaient que des fonctions de publicités non sollicitées. Seulement 0,14 % des applications analysées - soit une application pour 700 - pouvaient être effectivement considérées comme malveillants, selon McNamee. Mais pour Ludwig, 100 % des téléchargements sur Google Play sont sûrs.
Reste une question : peut-on faire confiance à Google (ou Apple) pour identifier les applications malveillantes et protéger les terminaux ? Le succès d’Apple quant à protéger ses utilisateurs des attaques visant sa plateforme suggère que l’approche monolithique fonctionne. Mais s’il ne fait aucun doute qu’un attaquant persistant peut compromettre un téléphone, un écosystème adaptatif peut s’avérer suffisamment robuste contre les attaques régulières.
Adapté de l’anglais par la rédaction.