Une majorité de terminaux Android utilisent une version dépassée de l'OS
Près d’un tiers des terminaux Android en entreprise utilisent aujourd’hui une version 4.0 ou plus ancienne du système d’exploitation mobile de Google.
Plus de 90 % des terminaux Android utilisent des versions obsolètes du système d’exploitation mobile de Google, selon Duo Security. C’est une étude basée sur l’analyse de la base installée de plus d’un million d’appareils de ce spécialiste de l’authentification à double facteur qui dépeint ce tableau préoccupant.
Selon celle-ci, 32 % des terminaux Android utilisés aujourd’hui dans les entreprises fonctionnent avec une version 4.0 ou antérieure de ce système d’exploitation mobile. Ce qui les laisse désarmés face à des vulnérabilités telles que Stagefright.
Pour mémoire, celle-ci s’appuie sur une librairie qui assure le traitement de nombreux formats multimédia populaires et permet de compromettre un terminal Android affecté sans même que son utilisateur n’ait besoin d’intervenir, par exemple via un fichier multimédia envoyé par MMS.
Selon Duo Security, un terminal Android en entreprise sur vingt est en outre rooté, offrant ainsi des privilèges élevés sur nombre de ses sous-systèmes, et le rendant vulnérable à de nombreuses attaques.
Les chiffres de Google offrent une perspective toutefois moins sombre. Selon eux, seuls 5,9 % des terminaux Android utilisent une version antérieure à la 4.1 et l’essentiel du parc installé (60,8 %) est équipé d’une version comprise entre 4.1 et 4.4. Android 5.x Lollipop représente quant à lui 32,6 % du parc (contre 21 % à l’automne dernier).
Des terminaux iOS non mis à jour
Mais l’obsolescence logicielle n’est pas l’apanage exclusif d’Android. Selon Duo Security, seuls 20 % des terminaux iOS déployés en entreprise utilisent la version 9.2 du système d’exploitation mobile d’Apple. Et certains iPhone et iPad à l’iOS vieillissant sont susceptibles d’être attaqués en exploitant les vulnérabilités Ins0mnia et Quicksand.
Duo Security estime par ailleurs que plus de 20 millions d’appareils mobiles connectés aux réseaux des entreprises ne sont plus supportés par leurs constructeurs. Ils ne peuvent dès lors plus être mis à jour pour profiter de la dernière version de leur système d’exploitation et restent vulnérables.
Et de préciser qu’il reste encore sur le marché des appareils qui ne peuvent pas recevoir de mises à jour : leur achat peut alors compromettre la posture de sécurité de l’entreprise.
Eduquer les utilisateurs
Si les éléments avancés par Duo Security sont préoccupants, l’éditeur estime que la visibilité sur l’état des terminaux accédant aux réseaux et applications critiques est essentielle pour sécuriser l’entreprise.
Mais les organisations risquent de ne pas pouvoir adresser rapidement le problème si elles se reposent entièrement sur leur DSI pour assurer la sécurité des usages mobiles, sans impliquer les utilisateurs.
Pour Henry Seddon, responsable des activités européennes de Duo Security, « les utilisateurs doivent être éduqués, mais les entreprises doivent mettre en place des systèmes encouragent par ailleurs les utilisateurs à mettre à jour leurs terminaux ».
A défaut, selon lui, les appareils tendront naturellement à l’obsolescence et constitueront une menace croissante pour les systèmes d’information : « chacun dans l’entreprise doit prendre ses responsabilités pour la sécurité de l’organisation comme la sienne ; les entreprises doivent fournir les outils qui interpellent les utilisateurs à des moments clés et les encouragent à suivre les bonnes pratiques ».
Avec nos confrères de ComputerWeekly (groupe TechTarget).