S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Trend Micro critique la sécurité d'Android et consacre celle de BlackBerry

Et on recommence tout dans un an

Quel est l’état actuel de la sécurité sur les plateformes mobiles ? L’éditeur de solutions de sécurité Trend Micro s’est penché sur la question et vient de publier les résultats d’une étude analysant iOS 5, Android 2.3, Windows Phone 7.5 et BlackBerry 7. Or, c’est bien le système de Research In Motion qui s’en tire avec les honneurs.

trend micro

Le tableau ci-dessus résume la situation pour Trend Micro. On peut voir clairement que BlackBerry 7 cumule les bonnes notes. L’éditeur s’est penché sur de nombreux aspects tels que les protections présentes directement dans le système, l’utilisation des sandbox (espaces mémoire isolés) pour les applications, la gestion de l’authentification, le chiffrement des données ou encore la disponibilité d’un pare-feu.

iOS 5 et Windows Phone 7.5 s’en sortent raisonnablement bien. Dans le cas du système de Microsoft, Trend Micro reconnaît que pour un système aussi jeune (18 mois), la sécurité y est de bon-aloi. Concernant iOS 5, Trend Micro félicite Apple pour l’intégration progressive d’éléments fortement demandés tels que des API de contrôle d’appareils. Sur les deux plateformes, des barrières comme l’absence de ports de cartes mémoire ou le contrôle strict sur l’écosystème logiciel sont autant de protections supplémentaires.

BlackBerry 7, grand gagnant du comparatif, mais...

Au sommet de la pyramide, on trouve BlackBerry 7 et ses éloges. Plusieurs éléments forts sont soulignés par l’étude tels que le nombre de protections directement intégrées dans le système, la présence d’un pare-feu ou encore la granularité des contrôles grâce aux politiques d’entreprise. Les smartphones BlackBerry peuvent en entreprise être accompagnés d’un composant serveur nommé BlackBerry Enterprise Server (BES). C’est bien l’ensemble qui permet d’atteindre des scores aussi élevés.

Trend Micro note toutefois que l’évolution de la plateforme de RIM tend clairement vers le marché grand public. L’éditeur en veut pour preuve l’ajout des écrans multitouch ou encore celui des puces NFC. Il souligne également que la firme est à un tournant de son histoire. Ainsi, le système BlackBerry 10 sera lancée plus tard dans l’année et renouvellera largement la plateforme. Difficile donc de savoir ce qu’il en sera de la sécurité à ce moment. On ne sait pas non plus jusqu’à quel point BlackBerry 10 fera de l’œil au marché grand public.

Android : les problèmes des permissions et de la fragmentation

Dans l’étude de Trend Micro, le grand perdant est Android. L’éditeur note que le système de Google a été bâti pour la sécurité et fonctionne à travers des paliers de privilèges accordés par les utilisateurs. Malheureusement pour Google, sa volonté de créer une plateforme sûre se heurte à plusieurs facteurs mitigeant le résultat.

android trend micro

Le système de permissions tout d’abord. L’utilisateur doit accepter ce que fait une application avant que celle-ci ne puisse fonctionner. Dans la pratique, Trend Micro explique que les utilisateurs ne regardent pas attentivement ce qu’il en est, validant la protection sans trop y prêter attention. Un souci d’expérience utilisateur comparable en fait à la RTM de Vista quand l’UAC demandait trop souvent des confirmations avant que le SP1 ne calme le jeu.

Autre problème, qui revient régulièrement lorsque l’on aborde Android : la fragmentation. Trend Micro indique ainsi que la version 4.0 du système aurait pu être testée, mais il ne s’agit tout simplement pas de la mouture la plus présente, loin de là. Ice Cream Sandwich intègre bien de nombreuses protections supplémentaires telles que le chiffrement entier de l’appareil et l’ASLR (Address Space Layout Randomization), mais on le trouve sur trop peu d’appareils, même les nouveaux. Exemple : les derniers Xperia de Sony.

La fragmentation et l’absence de système centralisé pour les mises à jour créent leur propre trou dans la sécurité. Les constructeurs n’ont pas obligation de diffuser les nouvelles versions du système. Elles comprennent pourtant d’indispensables correctifs pour les failles découvertes entre temps. Le système le plus efficace ici est clairement celui d’Apple : des mises à jour diffusées mondialement et en même temps.

Enfin, Trend Micro pointe les espaces de non droit inhérents au modèle ouvert d’Android. Les utilisateurs peuvent en effet configurer des sources tierces pour les installations en plus du Market de Google. Si le souci ne réside pas dans l’ouverture elle-même, elle se cache dans un manque flagrant de contrôle de ce qui y circule. Selon Trend Micro, Android serait de fait la "plateforme préférée des cybercriminels" qui utilisent l’ingénierie sociale pour faire accepter des applications qui ne sont finalement que des malwares. Récupération de données personnelles, facturation de SMS « premium », activation distante du micro : tout ou presque est possible. Même si Google commence à réagir, il reste le problème des sources tierces d’applications. Trend Micro recommande donc à ces plateformes de rendre beaucoup plus stricts les contrôles exercés.

Enfin, même si l'étude est clairement focalisée sur les entreprises, de nombreux constats sont valables pour le grand public. Ceux qui souhaitent en savoir davantage sur les détails de l’étude pourront en consulter le compte-rendu depuis ce lien (en anglais).
Source : Trend Micro
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 12/04/2012 à 16:07

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 30 commentaires

Avatar de diseqc INpactien
diseqc Le jeudi 12 avril 2012 à 16:19:30
Inscrit le vendredi 13 mai 05 - 201 commentaires
Quoi ? pas de firewall ?
Avatar de Teovald INpactien
Teovald Le jeudi 12 avril 2012 à 16:19:34
Inscrit le dimanche 20 juin 10 - 1124 commentaires
C'est pourtant le point sur lequel je soutiens le plus Android : à mon sens on ne doit pas être obligé de passer par l'entreprise qui possède la plateforme pour pouvoir publier une application. Ca crée beaucoup trop d'opportunités de tuer la concurrence à mon goût et nuit à la liberté d'expression en général.

Edité par teovald le jeudi 12 avril 2012 à 16:19
Avatar de ano_634845199311307630 INpactien
ano_634845199311307630 Le jeudi 12 avril 2012 à 16:24:51
Inscrit le jeudi 19 mai 11 - 294 commentaires
Le classement est un peu bidon, WP7 a une note de zero sur la virtualisation, mais vu qu'il ne supporte pas les applications natives cela n'est pas une faille de sécurité.
Avatar de Burn2 INpactien
Burn2 Le jeudi 12 avril 2012 à 16:41:46
Inscrit le mardi 1 novembre 05 - 9858 commentaires
C'est pourtant le point sur lequel je soutiens le plus Android : à mon sens on ne doit pas être obligé de passer par l'entreprise qui possède la plateforme pour pouvoir publier une application. Ca crée beaucoup trop d'opportunités de tuer la concurrence à mon goût et nuit à la liberté d'expression en général.


Je plussoie, surtout que les notes sont un peu bidon. Alors pour que ça soit sécurisé, il faut en gros empêcher l'utilisateur de pouvoir faire ce qu'il veut? Ah oué forcément vu sous ce point là...

Je ne vois pas en quoi le fait d'énoncer clairement les droits qu'a besoin l'application est une faille de sécurité. Si l'utilisateur ne lit pas les droits que demandes l'application c'est lui qui est nul... Une application qui accède au sms est tout aussi potentiellement néfaste sous ios, la seule différence c'est que c'est marqué clairement sous android...


Idem pour les applications tierces, c'est désactivé de base, c'est à l'utilisateur de faire la démarche de l'autoriser. Faut pas non plus déconner sur le fait que c'est une faille de sécurité!
Avatar de Consultant INpactien
Consultant Le jeudi 12 avril 2012 à 16:54:20
Inscrit le mardi 13 juin 06 - 18231 commentaires
Bonjour,

Interessant, je travail actuellement sur le renouvellement des "smartphone" pour un client et justement je cherchais ce genre de comparatif, merci vincent


Il y a 30 commentaires

;