Discussion :

[Idelways]

iOS ou Android, quelle est la plate-forme mobile la plus sécurisée ?
Symantec penche en faveur d'iOS en dépit de ses vulnérabilités 10 fois plus nombreuses



La sécurité des plateformes mobiles est certes meilleure que celle des ordinateurs, mais elle reste insuffisante d'après le nouveau rapport de Symantec intitulé « regard sur la sécurité des périphériques mobiles : analyse des approches de sécurités employées sur Apple iOS et Google Android ».

Ce document de 23 pages affirme sans surprise que les périphériques mobiles offrent formellement plus de sécurité que les plateformes Desktop, pour peu que l'on ne transgresse pas les lignes de conduite imposées par les éditeurs de firmwares.

Ainsi, Symantec estime que l'iOS d'Apple offre une protection plus efficace contre les malwares traditionnels, grâce à son processus de validation et la politique que mène Apple pour identifier et éliminer ces menaces.
Cependant, le Jailbreak très répandu rend ce système aussi vulnérable que ceux des ordinateurs de bureau.

Google, de l'autre côté, n'emploie pas ce genre de procédures pour garantir plus d’ouverture à sa plateforme, ce qui explique d'après la firme de sécurité « la recrudescence du nombre de malwares spécifiques à Android »

Le rapport juge que la stratégie de sécurité d'Apple est meilleure en terme de résistance aux malwares, aux abus des ressources et aux menaces sur l'intégrité des données.

Google serait en revanche nettement plus efficace en terme d'implémentation des solutions de sécurité, devançant de loin Apple en terme d'isolation des processus sur Android par exemple.

iOS prend aussi le dessus en terme de contrôle d'accès, de provenance des applications, et du chiffrage.
Pour ce dernier volet, Symantec insiste toutefois sur le fait que même en présence du modèle de chiffrement hybride d'iOS, ce dernier est perfectible et potentiellement dangereux, car une copie non chiffrée des données y est constamment présente pour permettre aux applications de continuer de s'exécuter en arrière-plan.

Les deux géants des OS mobiles seraient à pied d'égalité en ce qui concerne la résistance aux attaques venant du Web.
Symantec ne départage pas les deux OS pour ce qui est des systèmes de contrôle d'accès aux fonctionnalités des smartphones, basés sur les permissions accordées par l'utilisateur.



Quant aux bilans depuis le lancement des deux plateformes, iOS totalise 10 fois plus de vulnérabilités détectées en comparaison avec Android : 200 contre seulement 18.
Google met en moyenne 8 jours avant de proposer un correctif (contre 12 pour Apple), mais une partie des correctifs d'Android ne sort plus à destination des versions antérieures à la 2.3, qui constituent encore une part non négligeable de l'écosystème et de son épineux problème de fragmentation.

La grande majorité des failles trouvées sur l'OS d'Apple seraient de faible sévérité. Les exploits sont d'ailleurs généralement utilisés pour débrider les périphériques plutôt que pour des attaques malicieuses.

Symantec se montre donc plus critique envers la politique de sécurité de Google, mais estime que les deux entreprises ont encore tout à faire en matière de protection contre les attaques par ingénierie sociale.

Source :

Et vous ?

Que pensez-vous des politiques de sécurité utilisées sur les deux plateformes ?
Laquelle vous semble-t-elle la plus réussie ?

[renoj]

mais une partie des correctifs d'Android ne sort plus à destination des versions antérieures à la 2.3, qui constituent encore une part non négligeable de l'écosystème et de son épineux problème de fragmentation.

Allons bon !!! Les correctifs sur iOS sortiraient sur des versions antérieures ???

Et quand est t-il de la fragmentation de iOS ?
Les iPhones 2G n'ont pas eu droit aux versions 4.x et plus, les iPhones 3G n'auront pas le droit aux versions 5.x et plus.

Les correctifs de sécurité sur iOS comme sur Android ne sont fait que sur les dernières versions !

[Federico_muy_bien]

Rien que l'on ne savait déjà !

Apple c'est une boite de nuit très strict. Si t'as des baskets tu rentre pas !
Android c'est un festival en plein air. Donc Google doit tout bien vérifier à l'intérieur. Moins de failles doivent pouvoir être exploitées.

Android est sécurisé d'un point de vue logiciel. iOS est sécurisé par la politique d'Apple.

Et je ne suis pas d'accord avec toi reno. Pour upgrader un iPhone c'est gratuit et Apple t'en donne la possibilité (sauf pour les "vieux" tél), il me semble donc plus logique que Apple ne sécurise que le dernier iOS puisque la majorité des iDevices peuvent y migrer dessus. Alors que avec Android c'est pas pareil. Si on a defy par exemple () on est bloqué en 2.2. Si on passe en 2.3 (la dernière officielle) c'est qu'on a bidouillé. Google ne peut pas proposer une migration massive des androphones vers la dernière version car ils n'ont pas les clefs en main.
Ils se doivent donc soit de sécuriser plus de versions soit de créer un partenariat avec les constructeurs pour faire en sorte que les tel soient sous la dernière version. C'est ce qui se passe en ce moment.

[renoj]

C'est vrai je suis d'accord, mais le problème de mise à jour ne viens pas d'Android mais des constructeurs et opérateurs qui traînent la pâte. Si google sortait les correctifs pour les versions antérieures, j'imagine qu'il faudrait quand même attendre des mois avant de les avoir sur certains terminaux.

Après étant constructeur et éditeur de l'OS, c'est plus facile pour Apple de dire "si vous voulez les correctifs mettez vous à jour".

Mais si on reproche à Google de ne pas faire les correctifs pour les versions antérieures, il faut reprocher la même chose à Apple. Apple ne sort pas de version 3.x pour les iPhones 2G pour apporter les correctifs de sécurité.


HS :

Pour upgrader un iPhone c'est gratuit et Apple t'en donne la possibilité

C'est bien un des seuls trucs qui te laisse faire.

[Federico_muy_bien]

En gros : en absolu iOS est plus sécurisé mais vu l'ouverture d'Android comparé à la fermeture de iOS on peut saluer le travail de sécurité de Google.

[manticore]

Personnellement je trouve que 200 failles ça fait beaucoup

Pour ce qui des malwares sur Android, un utilisateur vérifiant un tant soit peu ce qu'il télécharge pourra les limiter.

Le problème d'Androids vient principalement des malwares vu que la politiques de contrôle des applications est beaucoup moins stricte. Cependant, si l'équipement est jailbreaker, c'est protection n'existe plus.

Pour ce qui est des mises à jour, je pense qu'il s'agit de deux mauvais élèves. Dont les raisons ont déjà été évoquées.

De plus il faut ajouter que les utilisateurs ne se mettent pas facilement à jour, selon les chiffres admob de novembre 2010 seul 50% des utilisateurs utilisaient la dernière branche d'iOS (4) alors que 70 % des utilisateurs d'Android étaient répartie entre la 2.2 et 2.1

Je suis cependant pas d'accord avec leur analyse des failles. Il existe des failles donnant un contrôle total sur l'IPhone jusqu'à la version 4 (non incluse) (voir la faille pdf qu'utilisait jailbreakme).

Et celle-ci n'est pas comblé, de plus celle-ci est très facilement exploitable grâce à la gestion des hots-spots d'Apple.

p.s. il existe un patch pour la faille pdf pour les iphones jailbreaker

[DrHelmut]

Apple c'est une boite de nuit très strict. Si t'as des baskets tu rentre pas !

C'est tellement vrai ! J'adore ta comparaison !
(et en plus c'est pas mal snob apple je trouve, mais bon)

Sinon, je pense qu'il faut avoir en tête aussi qu'une majorité des utilisateurs d'iPhoune ne le jailbreak pas... donc moins de risque de subir les failles qui y sont liées