Discussion :

[Gordon Fowler]

Les 12 smartphones les moins sécurisés de 2011
Sont tous sous Android, Bit9 dénonce le processus de distribution des mises à jour de l'OS

Bit9 est une des très nombreuses sociétés spécialisées dans la sécurité informatique. Elle est notamment connue pour son rapport “Dirty Dozen” qui liste les smartphones les plus exposés aux attaques.

En cette année 2011, le palmarès est entièrement composé de terminaux sous Android. L’iPhone 4 arrivant en 13ème position (voir infographie ci-dessous pour la liste complète).

Les auteurs de cette étude soulignent bien qu’il ne s’agit pas de dire que tel système est intrinsèquement plus sûr que tel autre. Ils se sont en fait concentré sur le nombre de machines tournant avec des versions de l’OS périmées ou avec des correctifs de sécurité non appliqués.

Résultat, 56 % des références sous Android sont dans cette situation. La faute à un trop grand nombre d’acteurs dans la chaîne de distribution des mises à jour (Google, le constructeur, l’opérateur). Pire, certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.

Bit9 avertit que cette situation pourrait avoir des répercutions très négatives pour les entreprises. Les smartphones sont en effet de plus en plus utilisés comme un outil professionnel et stockent des données de plus en plus sensibles.

L’absence de distribution systématique de mises à jour et le manque de contrôles sur les applications avant leurs mises en ligne dans l’Android Market, les deux ajoutés au Bring Your Own Device (laisser les employés utiliser les outils informatiques qu’ils souhaitent) pourraient former un cocktail détonnant.

Pour remédier à cette situation, Bit9 appelle les constructeurs et les opérateurs à ne plus freiner les mises à jour et à considérer les smartphones comme des ordinateurs portables et non plus comme des téléphones.

“Ce serait comme d’acheter un PC chez Dell et de s’en remettre à Dell et à votre fournisseur d'accès Internet, au lieu de Microsoft, pour les mises à jour de Windows. Avec des fabricants de PC et des FAI si nombreux, le résultat serait une fragmentation complète du marché, avec différents ordinateurs ayant différentes versions de Windows en fonction de l'endroit où ils ont été achetés et de là où vivent leurs utilisateurs. Et bien c'est exactement ce qui s'est passé au sein du marché des smartphones Android”, conclut Bit9.

La solution serait d’autant plus pertinente et raisonnable qu’elle a déjà été mise en oeuvre par Apple avec l’iPhone et par Google avec les Nexus.

Ne reste plus qu'à espérer que tous les acteurs du secteur entendent le message.

Les 12 smartphones les moins sécurisés de 2011 (rapport de Bit9, PDF)

Et vous ?

Que pensez-vous de cette liste ?
Trouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?

[frasene]

C'est dommage qu'on n'ait pas d'échos sur Symbian (et oui ce sont des smartphones)... Cela reste toujours intéressant d'avoir un comparatif sur tous les systèmes même ceux qui sont considérés comme étant à la traîne... D'autant plus que cela reste très important de savoir si on est ou non sur un système à peu près sécurisé... Mais il est vrai que les opérateurs filtrent énormément les mise à jour que cela soit pour Nokia ou autres... Je me rappelle avoir attendu 6 mois après l'achat du 5800 pour avoir la navigation GPS gratuite... Mais pour la sécurité, les mises à jour ne devrait pas dépendre des opérateurs...

[Franck Dernoncourt]

certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.

Grâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone (Samsung Galaxy i7500) il y a moins de deux ans... Impossible de mettre à jour.

Due to a lack of firmware updates Samsung has received a lot of criticism from Galaxy users. A petition requesting future updates has been initiated. To date over 8000 people have signed it.

Vive l'obsolescence programmée !

[Neko]

Grâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone il y a moins de deux ans... Impossible de mettre à jour.

J'ai un galaxy S, a peine plus d'un an et il semblerait que Samsung ne le supporte déjà plus. Le pire c'est qu'il est toujours dispo neuf dans le commerce.

[Uther]

La question reste : "Ces téléphone certes dépassés ont sont-ils victimes de failles de sécurité connues?"

Si oui c'est en effet un problème, sinon, c'est certes dommage pour le client, mais ça ne constitue pas un problème de sécurité pour autant. Si le constructeur continue a assurer des mises a jour de sécurité même sur de vieilles versions, je dirais au contraire que c'est plus sur.

[Kiiwi]

Trouvez-vous qu’il y a un problème dans la distribution des mises à jour d’Android ?

Clairement oui!

Google sort une mise à jour, il faut des fois attendre des mois et des mois (et même 1 an entier) pour que le constructeurs déploie la mise à jours sur ses terminaux, mais ça s'arrête pas là, il faut encore attendre quelques semaines-mois pour que l'opérateur l'adapte à sa surcouche.

Et puis y a ensuite les terminaux très vite abandonnés par le constructeur.
le Galaxy S est un bon exemple. Quand tu as mis le prix qu'il fallait pour te procurer un Galaxy S ... je pense que tu t'attends à plus de la part de Samsung. Et puis le Galaxy S reste un bon smartphone, toujours commercialisé ...

[atha2]

Pour résumé, les constructeurs de mobile ont un long processus de validation de l'OS. Donc résumer les retards de MAJ par rapport à la sortie de l'OS part Google au simple ajout du surcouche graphique par le constructeur me parait simpliste. A noter que le même processus de validation est aussi fait par les opérateur téléphonique(qui ont aussi parfois leur surcouche graphique )
Mais du coup on se retrouve avec des téléphones sur lesquelles ont découvre de nouvelles failles (non testées lors de la validation puisque non connues à ce moment là).

Après il y a t'il une meilleur façon de procéder ? Perso j'ai pas de solution.

Clairement oui!

Google sort une mise à jour, il faut des fois attendre des mois et des mois (et même 1 an entier) pour que le constructeurs déploie la mise à jours sur ses terminaux, mais ça s'arrête pas là, il faut encore attendre quelques semaines-mois pour que l'opérateur l'adapte à sa surcouche.

Et puis y a ensuite les terminaux très vite abandonnés par le constructeur.
le Galaxy S est un bon exemple. Quand tu as mis le prix qu'il fallait pour te procurer un Galaxy S ... je pense que tu t'attends à plus de la part de Samsung. Et puis le Galaxy S reste un bon smartphone, toujours commercialisé ...

Heureusement qu'il existe de ROM alternative comme Cyanogen qui permettent pour les smartphones les plus vendus d'accéder à une version plus récente de d'android. Par contre cette opération fait tomber la garantie donc il faut mieux faire un ghost avant. Mais il y a des tuto qui explique ça de manière très clair.

[Flaburgan]

Personnellement, j'ai un HTC-Desire acheté il y a moins d'un an chez Bouygues Telecom, initialement en 2.1, j'ai pu directement l'upgrader en 2.2, mais depuis plus aucune mise à jour proposée, et il semble qu'il n'y en aura plus...

[pschiit]

j'ai cru comprendre que android n'etait qu'une surcouche posée sur une base linux.
Quand on voit sur les forum que les devs redéveloppent les accès à chacuns des composants du tél, je trouve que ça fait énormément de boulot.
Quand on compare avec le monde des ordis (nos smartphones s'en rapprochent de + en +), on n'a pas besoin d'attendre que le constructeur redéveloppe tous ses drivers. Une fois qu'ils ont été créés, ils sont réutilisés.
De plus, dans pas mal de distrib linux, il existe des outils permettant de rechercher les patchs de sécurité.
Qu'est ce qui empèche les constructeurs de faire pareil?

[Le Vendangeur Masqué]

Les 12 smartphones les moins sécurisés de 2011
Sont tous sous Android, Bit9 dénonce le processus de distribution des mises à jour de l'OS

Le processus de non-distribution pourrait même t-on presque dire...

Plus sérieusement et pour compléter cette étude des mises à jour, voilà un beau graphique qui détaille différents terminaux:


http://theunderstatement.com/post/11...ory-of-support

Ça résume assez bien la situation. Le seul système où les MAJ sont disponibles régulièrement et longtemps est iOS. Et Dieu sait si la sécurité et la pérennité sont des critères importants pour une entreprise.

Les auteurs de cette étude soulignent bien qu’il ne s’agit pas de dire que tel système est intrinsèquement plus sûr que tel autre. Ils se sont en fait concentré sur le nombre de machines tournant avec des versions de l’OS périmées ou avec des correctifs de sécurité non appliqués.

Evidement, la sécurité ne se mesure pas en pourcentage. Néanmoins on a tous connu un certain OS baptisé Windows XP, qui a un moment de sa carrière fut très répandu mais une vraie passoire (peu de mécanismes de sécurité intégrés et plein de failles). Y'a eu une période où les virus et malwares faisaient rage parce que les vilains pirates ont vite compris le "potentiel" du système...
Combien de temps mettront-ils à voir celui d'Android ? Sachant en plus qu'un smartphone regroupe plein d'infos personnelles (espionnage, vol d'identité, ...) et peut rapporter gros (par ex: forcer l'envoi de SMS surtaxer).
Et comme on dit, les mêmes causes produisent les mêmes effets...

Résultat, 56 % des références sous Android sont dans cette situation. La faute à un trop grand nombre d’acteurs dans la chaîne de distribution des mises à jour (Google, le constructeur, l’opérateur). Pire, certains constructeurs vendent des modèles neufs aves des systèmes périmés depuis plus de 6 mois.

Et encore pire: Google par son hypocrisie sur la non-validation des applications (histoire de dire: nous on est les gentils ouverts face au méchant fermé Apple... Et parlons pas des économies que ça représente), est responsable de la vague de malware que subit Android. Cet OS subit déjà 60% de tous les logiciels malveillants de toutes les plateformes mobiles. Un système très répandu et où l'on rentre presque comme dans un moulin ne peut qu'attirer les convoitises...
Et pour information le taux de malware sous iOS est de zéro. Oui, vous avez bien lu, rien, nada. Et cela grâce à la validation et à l'impossibilité d'installer des applis qui viennent de nul part.

Bit9 avertit que cette situation pourrait avoir des répercutions très négatives pour les entreprises. Les smartphones sont en effet de plus en plus utilisés comme un outil professionnel et stockent des données de plus en plus sensibles.

Et par charité je ne citerais pas le nom d'une grande entreprise Française qui cherche en ce moment à s'équiper de tablettes et où certains responsables informatiques et informaticiens poussent à choisir Android plutôt que l'iPad.
C'est assez fou de voir que ces "professionnels" ont complètement perdu de vue les problèmes de sécurité, pérennité (et accessoirement d'écosystème minuscule) que pose Android.
Vous-vous voyer expliquer sérieusement à votre patron choisir un système parce qu'il concentre les malwares, parce que les mises à jour y sont rares voir inexistantes, et que question applis et accessoires c'est le désert ?

L’absence de distribution systématique de mises à jour et le manque de contrôles sur les applications avant leurs mises en ligne dans l’Android Market, les deux ajoutés au Bring Your Own Device (laisser les employés utiliser les outils informatiques qu’ils souhaitent) pourraient former un cocktail détonnant.

Tout à fait, l'ouverture d'Android (OS et market) est un réel problème de sécurité pour les entreprises.
Quand à amener ces propres outils, pourquoi pas... À conditions qu'ils soient suffisamment sûrs (et donc de ne pas laisser entrer ceux qui ne le sont pas). Il y a plusieurs grandes entreprises Américaines (comme IBM) qui ne voient ainsi aucune objection à ce que leurs salariés amènent Mac et iPhones au travail.

Pour remédier à cette situation, Bit9 appelle les constructeurs et les opérateurs à ne plus freiner les mises à jour et à considérer les smartphones comme des ordinateurs portables et non plus comme des téléphones.

Je crois les opérateurs n'ont rien à faire là-dedans. Leur boulot c'est de "fournir des tuyaux", pas de jouer à bidouiller/brider des smartphones avec leurs maigres (voir inexistantes) compétences (ni accessoirement de saloper le design d'un téléphone avec leur logo tout moche ).
On me reprochera encore de dire du bien d'Apple, mais eux au moins ils ont eu le courage de dire non à tout ça, pour le plus grand bien du client final.

Quand aux constructeurs ils savent très bien quel est le problème. Non vraiment s'il y a quelqu'un à qui prodiguer des conseils, je suggère à Bit9 d'adresser une simple suggestion aux seuls entreprises et particuliers: fuyez les plateformes qui posent problèmes. C'est d'autant plus faisable quand il existe des plateformes où justement où on est pas embêté avec ça...
Y'a que comme ça que Google et ses partenaires se bougeront.

“Ce serait comme d’acheter un PC chez Dell et de s’en remettre à Dell et à votre fournisseur d'accès Internet, au lieu de Microsoft, pour les mises à jour de Windows. Avec des fabricants de PC et des FAI si nombreux, le résultat serait une fragmentation complète du marché, avec différents ordinateurs ayant différentes versions de Windows en fonction de l'endroit où ils ont été achetés et de là où vivent leurs utilisateurs. Et bien c'est exactement ce qui s'est passé au sein du marché des smartphones Android”, conclut Bit9.

La solution serait d’autant plus pertinente et raisonnable qu’elle a déjà été mise en oeuvre par Apple avec l’iPhone et par Google avec les Nexus.

On est en effet avec Android dans une situation bien plus tortueuse que ne l'a jamais été Windows sur la plateforme PC. Et plus la plateforme grossie plus cela peut représenter un vrai problème.

J'ai nettement l'impression que Google s'est lancée dans l'aventure du smartphone sans vraiment prendre compte toute l'ampleur de la tâche qu'il leur faudrait accomplir.
Ainsi nombre de choix techniques qui datent de la création d'Android n'ont pas été pertinents (cause aujourd'hui des problèmes de mémoire, de latence en réactivité ou en audio, ...), mais aussi des choix "politiques" comme le degré d'ouverture et de liberté des partenaires.

En face on a clairement l'impression qu'Apple, qui a quand-même une certaine expérience de l'informatique, a dès le départ su mettre au clair sa stratégie:
1/ Non pas créer un OS pour smartphone, mais reprendre OS X comme base, évitant ainsi de sous-dimensionner les capacités du système.
2/ En limitant volontairement les applis disponibles au seul AppStore (et a la diffusion privée pour les entreprises), et en faisant le choix de vérifier ce qu'elle met dans boutique.

Ne reste plus qu'à espérer que tous les acteurs du secteur entendent le message.

Cela me rappelle nombre d'activités humaines où des gens compétents tirent la sonnette d'alarme quand un problème grave risque de se produire rapidement, et où aucun responsable ne réagit.

C'est le problème d'Android: les modèles bas de gammes se vendent comme de petits pains à une clientèle venant des téléphones ordinaires et qui n'a pas la moindre idée de l'OS qu'il y a dessus (d'où d'ailleurs le décalage criant entre la PDM d'Android et ses statistiques de ventes d'applis et fréquentation internet par rapport à iOS qui domine).

Bref tant qu'aucune catastrophe ne sera survenue, les geeks et Google pourront hurler tant qu'ils veulent, opérateurs et fabricants ne bougeront probablement pas le petit doigt, l'argent rentre tout va très bien.

[Le Vendangeur Masqué]

Grâce à Samsung, j'en suis toujours à Android 1.6 et pourtant j'ai acheté mon téléphone (Samsung Galaxy i7500) il y a moins de deux ans... Impossible de mettre à jour.

Vive l'obsolescence programmée !

Et dire que j'en connais qui adorent employer cette expression pour Apple.

Encore un bel exemple de paille, de poutre et d'oeil si vous voyez où je veux en venir...

La question reste : "Ces téléphone certes dépassés ont sont-ils victimes de failles de sécurité connues?"

Si oui c'est en effet un problème, sinon, c'est certes dommage pour le client, mais ça ne constitue pas un problème de sécurité pour autant. Si le constructeur continue a assurer des mises a jour de sécurité même sur de vieilles versions, je dirais au contraire que c'est plus sur.

Victimes pour l'instant, non, le soucis actuel d'Android c'est les malwares.
Mais c'est un problème de sécurité à venir car même les maj de sécurité ne viennent plus.
Avec la PDM d'Android qui grimpe, on a je le répète toutes les conditions pour que tout ça finisse par péter, et cela risque d'être bien pire que ce qu'a connu Windows XP...

C'est l'exemple-même d'une solution boiteuse née d'une situation pas terrible, et qu'en tout cas je ne vois sérieusement pas grand monde employer (ni le grand-public, ni les entreprises, encore heureux...).

[BakaOnigiri]

Quand Android et iOS n'étaient même pas encore des projets, j'ai eu un certain nombre de téléphones sous Windows CE, personnalisés par Orange.

Microsoft sortait à ce moment des mise à jour, mais Orange prenait son temps pour les adapter, et souvent arrêtait au bout de 6 mois.

Quand iOS à été annoncé je me suis dis que enfin, un truc que les opérateurs ne pourront toucher (connaissant Apple, çà semblait logique).

Je ne m'attendais pas, par contre, à ce que ce soit la même chose pour Android.

Et c'est bien dommage.

[Le Vendangeur Masqué]

Quand Android et iOS n'étaient même pas encore des projets, j'ai eu un certain nombre de téléphones sous Windows CE, personnalisés par Orange.

Microsoft sortait à ce moment des mise à jour, mais Orange prenait son temps pour les adapter, et souvent arrêtait au bout de 6 mois.

Quand iOS à été annoncé je me suis dis que enfin, un truc que les opérateurs ne pourront toucher (connaissant Apple, çà semblait logique).

Je ne m'attendais pas, par contre, à ce que ce soit la même chose pour Android.

Et c'est bien dommage.

Oui mais au fond c'est assez logique. L'OS étant ouvert n'importe qui dans la chaîne (constructeur, opérateur) peut facilement mettre son grain de sel au détriment du client.
C'est vrai que ça fait un joli paradoxe: l'ouverture d'un OS utilisée pour mieux le fermer aux utilisateurs.

Et pour reprendre l'analogie de Bit9 c'est comme si Darty ou la Fnac avaient en plus des constructeurs chacun leur version personnalisée de Windows.
Je suis pas sûr que la plateforme PC aurait résisté longtemps à un tel bordel...

[Flaburgan]

Et pour information le taux de malware sous iOS est de zéro. Oui, vous avez bien lu, rien, nada. Et cela grâce à la validation et à l'impossibilité d'installer des applis qui viennent de nul part.

C'est complétement faux, iOS étant une plateforme très répandue, il y a eu de nombreux pirates qui s'y sont intéressés. Des applications détournées (du genre un jeu qui servait en fait pour connecter son pc relié à la 3G), ça s'est vu sous iOs. Alors dire qu'il y en a moins car la vérification des applications est plus minutieuse et rigoureuse que sous Android, oui. Oser affirmer qu'il n'y a aucun malware... Et puis à chaque sortie, il est jailbreaké dans la journée qui suit. Tu appelles ça un OS sécurisé ?

ça commence à bien faire ces réponses systématiques pro-Apple...

[Uther]

Et encore pire: Google par son hypocrisie sur la non-validation des applications (histoire de dire: nous on est les gentils ouverts face au méchant fermé Apple... Et parlons pas des économies que ça représente), est responsable de la vague de malware que subit Android. Cet OS subit déjà 60% de tous les logiciels malveillants de toutes les plateformes mobiles. Un système très répandu et où l'on rentre presque comme dans un moulin ne peut qu'attirer les convoitises...

Complètement faux.
Google valide bien les applications de l'Android Market, et il vérifie particulièrement que l'application n'est pas un malware. La seule différence avec Apple à ce niveau est que Google ne se permet pas d'interdire telle ou telle application parce qu'elle ne lui plait pas. Si une application n’enfreint pas manifestement la loi, elle est publiée.

Android permet, il est vrai d'installer des application hors-market mais c'est désactivé par défaut, et on est clairement prévenu des risques si on l'active

Et pour information le taux de malware sous iOS est de zéro. Oui, vous avez bien lu, rien, nada. Et cela grâce à la validation et à l'impossibilité d'installer des applis qui viennent de nul part.

Complètement faux, les validateurs de l'AppStore comme ceux de l'Android Market ont déjà laissé passer des malwares qui ont du être supprimées à postériori.

Le process de validation ne rend pas intrinsèquement iOS plus sur. Les validateurs d'Apple ne peuvent tout simplement pas faire un reverse enginering complet sur chaque application pour l'étudier et s'assurer qu'elles n'utilisent pas de faille. Et même si s'était le cas, ça ne serait absolument pas une garantie.
Pour protéger des malwares, ils se contentent (comme Google) d'outils automatiques de type antivirus.
Le travail des validateurs d'Apple consiste surtout à vérifier que l'application correspond à la politique de la maison (pas d'applications qui dupliquent une fonctionnalité de l'iPhone, pas de contenu érotique, ...)

Et par charité je ne citerais pas le nom d'une grande entreprise Française qui cherche en ce moment à s'équiper de tablettes et où certains responsables informatiques et informaticiens poussent à choisir Android plutôt que l'iPad.
C'est assez fou de voir que ces "professionnels" ont complètement perdu de vue les problèmes de sécurité, pérennité (et accessoirement d'écosystème minuscule) que pose Android.
Vous-vous voyer expliquer sérieusement à votre patron choisir un système parce qu'il concentre les malwares, parce que les mises à jour y sont rares voir inexistantes, et que question applis et accessoires c'est le désert ?

Bonne blague! Un iPhone ça se jailbreake, un Android ça se roote, et un Blackberry ça se pirate aussi (un certain DSK en sait quelquechose). Il est clair qu'aucun des téléphone de grande série ne sont vraiment surs.
Par contre pour un professionnel, le fait de pouvoir avoir recours à une application maison à un vrai intérêt.

Victimes pour l'instant, non, le soucis actuel d'Android c'est les malwares.
Mais c'est un problème de sécurité à venir car même les maj de sécurité ne viennent plus.

Tu pars du principe que s'il n'y a pas de mises à jour majeures, il n'y a pas non plus de mise à jour de sécurité, ce qui est généralement faux. Le problème de l'article c'est qu'il ne prend pas du tout en compte ça. Il étudie le temps que mettent les constructeurs a passer à la prochaine version majeure ce qui est un problème pour le geek qui veut toujours la dernière version du système, absolument pas pour la sécurité.
Rien dans ces statistiques n'indique si il y a des mises à jour sécurité ou non et combien de temps elle sont déployées après la découverte d'un vulnérabilité. C'est pourtant ça et seulement ça, la statistique utile d'un point de vue sécurité.

[Franck Dernoncourt]

Comme d'habitude, l'histoire se répète. http://www.businessinsider.com/samsu...update-2011-12 : How Samsung Just Screwed Over About 10 Million Of Its Android Phone Customers.

Today Samsung announced that its line of Galaxy S phones, one of the most popular Android phone models of 2010, will not get Google's latest version of Android, Ice Cream Sandwich.
That means ~10 million people who bought the phone are going to be stuck on the outdated version 2.3 Gingerbread (or 2.2 Froyo in many cases) until they decide to drop more cash on a new phone.

[fregolo52]

On dirait qu'il n'y a pas que le "End point" (le smartphone, en général) qui est une poussoire, le transport aussi (businessmobile), il suffit de passer par la bonne vieille techno GSM qui est toujours valide.

[Traroth2]

Donc, si je comprends bien le graphique du Vendangeur masqué, on peut mettre iOS 5 sur un iPhone Edge, c'est ça ? Je serais curieux, très très curieux de voir ça... Même sur un iPhone 3G, j'aimerais bien voir ça !

Au passage, j'espère que la migration des iPhone 4 vers iOS 5 se passe mieux que celle des iPhone 3GS vers iOS 4, qui a conduit plusieurs personnes de ma connaissance possédant ledit iPhone 3GS à passer à Android, tellement leur iPhone était inutilisable après...