La sécurité d'Android s'est améliorée à pas de géant au cours des 10 dernières années : voici comment
Android a été décrit comme un "enfer toxique" de vulnérabilités, mais ce n'est plus le cas.
De nos jours, Android est l'un des systèmes d'exploitation les plus utilisés et les plus sécurisés de la planète, mais il n'en a pas toujours été ainsi. En fait, en 2014, ZDNet a qualifié Android de « ragoût toxique » de vulnérabilités, qui a ensuite été cité par Tim Cook lors du lancement de l'iPhone cette année-là. Cook a tenu à dire qu'Android était si fragmenté et que les mises à jour étaient si lentes à arriver qu'il n'y avait aucun moyen pour ces pauvres gens qui "ont acheté un téléphone Android, par erreur" de profiter de la sécurité de leurs parieurs propriétaires d'iPhone.
Cependant, ce n'est pas toute l'histoire, et ce n'est certainement pas exact de nos jours.
En repensant au tout premier iPhone, il se connectait en 2G, avait quelque part dans le stade de 14 applications et prenait des photos avec une énorme quantité de bruit et de grain. Cependant, l'avantage pour Apple était que la société fabriquait le matériel et les logiciels, y compris les 14 de ces applications, qui, avant l'App Store, étaient tout ce que vous pouviez utiliser. Apple a régi l'ensemble de l'expérience, ce qui signifiait également qu'ils pouvaient publier des mises à jour à tout moment.
En revanche, les premiers jours d'Android étaient un peu différents, avec beaucoup plus de cuisiniers dans la cuisine proverbiale. Tout d'abord, Google publierait une nouvelle version d'Android, qui a ensuite été adaptée par les fabricants de puces pour fonctionner sur le processeur utilisé par votre téléphone. Ensuite, le fabricant a pu se débrouiller avec Android, ajouter de nouvelles fonctionnalités ou applications, et généralement changer un tas de choses sur son apparence – souvent pour le pire. Ensuite, il fallait aller chez votre opérateur s'il s'agissait d'un téléphone de marque réseau, et ils s'assureraient qu'il fonctionnait sur leur réseau tout en pelletant plus de bloatware juste pour le plaisir.
Ensuite, si vous aviez de la chance, peut-être six mois après le lancement d'une nouvelle version d'Android, vous, en tant que personne ordinaire, l'obtiendriez sur votre téléphone - avec quelques extras que vous auriez peut-être voulu ou non. Pour 99 % de l'écosystème Android, c'était ainsi que les mises à jour fonctionnaient, et c'était un gros problème. Un peu comme commander un hamburger raffiné dans un restaurant et devoir attendre pendant que le propriétaire de la franchise et le serveur ajoutent un tas de garnitures bizarres et grossières que vous n'avez pas demandées.
Les seules personnes qui n'avaient pas leur smartphone Android mettaient une éternité à obtenir des mises à jour qui contenaient souvent des logiciels supplémentaires étaient les propriétaires de Google Nexus. Ces téléphones fonctionnaient sous Android vanille et recevaient des mises à jour directement de Google sans rien ajouter en plus. Le problème était qu'ils ne représentaient qu'un petit morceau d'une part du gâteau Android en constante expansion.
Toute cette situation était assez mauvaise pour un tas de raisons, et l'une des principales était la sécurité. De toute évidence, ce n'est pas génial si Google ou Qualcomm doivent corriger un bogue de sécurité plus haut dans la chaîne alimentaire, puis vous devez attendre des mois supplémentaires pour qu'il soit réellement diffusé sur la plupart des appareils.
Cela a été aggravé par la nature d'Android à l'époque et l'attitude des fabricants de téléphones à l'égard des mises à jour. Les mises à jour logicielles pour les téléphones existants étaient souvent considérées comme une corvée - presque comme si vous aviez foiré si vous deviez en faire une parce que, eh bien, tout ce que vous corrigez ou ajoutez aurait dû être dans la ROM d'origine. En conséquence, les antécédents de mise à jour de presque tout le monde dans le monde Android à l'époque étaient essentiellement au niveau de la benne à ordures selon les normes d'aujourd'hui. Les produits phares recevraient une mise à jour majeure du système d'exploitation des mois plus tard s'ils avaient de la chance. Pire encore, les correctifs de sécurité n'existent pas encore.
Comme si cela ne pouvait pas empirer, à ce stade, presque toutes les principales applications Android importantes étaient encore intégrées au micrologiciel. Les mises à jour du navigateur Web, par exemple, devraient être regroupées dans un OTA et attendre d'être certifiées par le fabricant et l'opérateur. Donc, si une vulnérabilité apparaissait dans le code du moteur du navigateur de, disons, Google, il n'y avait aucun moyen d'obtenir des correctifs largement ou rapidement. Cela signifiait que différentes personnes seraient bloquées sur différentes versions avec différentes personnalisations et différents niveaux de vulnérabilité aux logiciels malveillants et autres méchants. D'où : la fragmentation d'Android.
Cela vaut la peine de dire qu'iOS n'était * en aucun cas * exempt de problèmes de sécurité, en particulier au cours des deux premières générations d'iPhone. L'absence d'une boutique d'applications officielle était une grande incitation pour les script kiddies et les pirates informatiques à ouvrir l'iPhone et à lui faire faire des choses nouvelles et passionnantes. Au moins un moyen majeur de jailbreaker les iPhones à l'époque consistait à exploiter un bogue dans le navigateur. Fondamentalement, une page Web pourrait briser la sécurité de l'iPhone d'origine.
La différence était qu'Apple pouvait combler ces failles de sécurité beaucoup plus rapidement lorsqu'elles apparaissaient et le faire sur une plus grande partie de la base d'utilisateurs. Ce n'est pas le cas du côté d'Android.
Tout cela était le "stew toxique" que Google aurait servi à l'époque des versions 4 et 5 d'Android. Avec le recul, il est facile de dire que Google aurait dû faire plus pour garder le contrôle sur Android... ou mettre en place des systèmes dès le départ pour aider les mises à jour à circuler plus librement et plus fréquemment.
Il convient de rappeler, cependant, qu'à l'époque où Android a été développé pour la première fois en 2007, le monde était un endroit différent. Les smartphones qui existaient étaient principalement des engins primitifs de brassage d'e-mails pour les hommes d'affaires. Les paiements mobiles étaient loin d'être une réalité. Uber ne serait pas fondé avant deux ans. L'humble retweet n'existait même pas.
Le fait est qu'à l'époque, il n'était pas clair comment, au cours de la décennie suivante, tant de tâches quotidiennes essentielles seraient liées à votre téléphone, ni comment il deviendrait un tel trésor de données personnelles précieuses et piratables. Au crédit de Google, beaucoup de choses ont changé au cours des dernières années pour rendre Android plus sûr et diffuser plus rapidement les correctifs de sécurité à un plus grand nombre de personnes. Il ya un certain nombre de raisons à cela.
Par exemple, les services Google Play sont quelque chose que vous avez peut-être vu mettre à jour sur votre téléphone et auquel vous n'avez peut-être pas prêté beaucoup d'attention. Cependant, il s'agit en fait d'une partie extrêmement importante de la façon dont Google assure la sécurité d'Android et aide à apporter de nouvelles fonctionnalités d'Android 13 à l'ancien Galaxy S7 de votre grand-mère qui n'a pas reçu de nouveau firmware depuis des années.
Dans le cas de Play Services, il s'agit d'une application système, elle dispose donc d'un accès privilégié de niveau supérieur A+ Platinum à tout ce qui se trouve sur votre téléphone. Il peut faire bien plus qu'une application ordinaire que vous téléchargeriez sur le Play Store, comme installer ou supprimer d'autres applications ou même effacer à distance votre appareil en cas de perte ou de vol.
Les applications système telles que Play Services doivent être chargées sur votre téléphone par le fabricant, mais une fois qu'elles sont là, elles peuvent être mises à jour automatiquement en arrière-plan. Cela signifie que les nouvelles versions peuvent ajouter en toute sécurité de nouvelles fonctionnalités et fonctionnalités. Et Play Services a des tentacules sur tout le système d'exploitation, c'est pourquoi, par exemple, la fonction de sélection de photos sécurisée d'Android 13 pourrait être déployée sur des téléphones exécutant des versions beaucoup plus anciennes du système d'exploitation sans qu'aucun nouveau micrologiciel ne doive être installé.
Play Services inclut également Google Play Protect, la capacité antimalware au niveau du système d'exploitation d'Android qui peut arrêter les applications malveillantes avant qu'elles ne soient installées ou les supprimer si elles sont déjà là. L'autre chose importante à propos de Play Services est qu'il prend en charge des versions absolument anciennes d'Android. Google n'abandonne généralement la prise en charge des services Play que sur les versions d'Android qui ont environ dix ans. À l'heure actuelle, nous sommes à l'été 2023 et la version actuelle de Play Services est prise en charge depuis Android 4.4 KitKat de 2013. Cette petite anecdote apparemment aléatoire est importante car elle vous aide à rester raisonnablement en sécurité, même sur des versions beaucoup plus anciennes d'Android. Cela en soi est une grande partie de la stratégie de sécurité Android.
Fait intéressant, Play Services a joué un rôle intéressant dans la réponse COVID-19 de nombreux pays à travers le monde. Une mise à jour distribuée via Play Services expliquait comment Google avait pu déployer le système de notification d'exposition qu'il avait développé avec Apple pour pratiquement toute la base d'utilisateurs Android d'un seul coup. Sans Play Services, ce genre d'effort aurait pris des mois et n'aurait pas atteint autant de personnes.
En fait, il est assez fou de penser que les efforts de Google pour réparer la fragmentation d'Android près d'une décennie plus tôt ont probablement indirectement sauvé de nombreuses vies pendant la pandémie.
Les applications malveillantes sont une chose, mais il existe d'autres moyens par lesquels de mauvais acteurs peuvent essayer de prendre le contrôle de votre téléphone ou de voler vos données. Les exploits de navigateur en constituaient une part assez importante, et maintenant le navigateur Chrome et le code WebView pour le contenu Web dans d'autres applications sont mis à jour via le Play Store. En fait, cela s'applique à tout un tas de différentes parties d'Android qui nécessitaient autrefois une mise à jour du firmware. D'autres incluent le numéroteur Google Phone, les messages Android et d'innombrables applications en coulisses.
Alors, disons qu'un mauvais exploit de navigateur est découvert aujourd'hui en 2023 où une page Web malveillante pourrait planter votre téléphone ou voler vos mots de passe ou faire que l'application Starbucks gâche votre commande. Peu importe la version d'Android sur laquelle vous vous trouvez, Google pourrait publier des mises à jour via le Play Store couvrant à la fois Chrome lui-même et toute autre application affichant du contenu Web. À l'époque du soi-disant Hellstew toxique, le déploiement du même correctif nécessiterait une mise à jour complète du micrologiciel pour chaque téléphone Android : beaucoup plus de travail pour beaucoup plus de personnes, et cela aurait pris des mois, voire des années. au lieu de jours.
Un autre type d'exploit a été une grande nouvelle dans le monde de la sécurité Android en 2015. Le bogue "Stagefright" a affecté la partie d'Android qui s'occupait du rendu des images et de la vidéo : une photo qui avait été trafiquée de la bonne manière pouvait faire du mal à ton téléphone. C'était un gros problème car à l'époque, ce composant Stagefright ne pouvait pas être mis à jour sans une mise à jour complète du firmware. Encore une fois : beaucoup de travail supplémentaire, de certification et d'attente alors que potentiellement, l'équivalent numérique d'une peinture hantée pourrait ouvrir grand votre téléphone à tout moment.
Les retombées de cette effrayante alerte à la sécurité de Stagefright étaient doubles : premièrement, Google a commencé à publier des correctifs de sécurité mensuels pour Android, liant votre niveau de sécurité à une date précise. Non seulement cela, mais cela a incité Google à prendre beaucoup plus au sérieux la modularité d'Android, de sorte que des morceaux du système d'exploitation comme Stagefright pourraient être mis à jour via le Play Store sans avoir besoin d'une mise à jour complète du micrologiciel.
De nouveaux correctifs de sécurité Android sortent encore chaque mois à ce jour. Et ils couvrent également les anciennes versions du système d'exploitation, pas seulement les dernières, donc même si un téléphone est toujours sous Android 11 ou 12, il peut toujours être protégé. En règle générale, les produits phares de Google Pixel et de Samsung reçoivent en premier les correctifs de sécurité, d'autres comme Motorola courant en sueur derrière le reste de l'écosystème, publiant le strict minimum contractuel d'un correctif par trimestre.
C'est l'autre côté de l'équation : Google oblige désormais légalement les fabricants de téléphones à s'engager sur un niveau minimum de support s'ils veulent Android avec les services Google sur leurs appareils. En 2018, The Verge a rapporté que Google imposait deux ans de correctifs de sécurité, sortant au moins une fois tous les 90 jours.
De nos jours, des marques populaires comme Samsung et OnePlus promettent quatre ans de mises à jour du système d'exploitation et cinq ans de correctifs de sécurité, éventuellement avec les encouragements de Google dans les coulisses.
Bien que les mises à jour soient beaucoup plus fréquentes de nos jours, elles nécessitent encore beaucoup de travail d'ingénierie, en particulier lorsqu'il s'agit d'une mise à jour importante, comme une toute nouvelle version du système d'exploitation. Android ne ressemble pas à One UI de Samsung ou à ColorOS d'Oppo lorsqu'il quitte la chocolaterie Mountain View de Google, n'est-ce pas ? Et au début, vous, en tant que Samsung ou Oppo, deviez incorporer cette toute nouvelle version d'Android dans votre fork personnalisé de la version précédente. C'est un peu comme essayer d'échanger certains ingrédients une fois qu'un repas est déjà cuit - vous finissez par devoir presque recommencer à zéro.
La solution de Google ? Fondamentalement, une assiette TV : vous servez ce repas dans deux sections différentes. Vous séparez les personnalisations du fabricant - tous les éléments One UI ou ColorOS - du système d'exploitation principal. Et cela signifie que vous pouvez plus facilement mettre à jour l'un sans déranger l'autre. Toute cette entreprise s'appelle Project Treble, et bien que vous ne puissiez pas la voir sur votre téléphone, vous avez peut-être remarqué que l'appareil Android que vous possédez aujourd'hui reçoit des mises à jour un peu plus rapidement que celui que vous utilisiez il y a sept ou huit ans.
En plus de cela, Google a commencé à partager les futures versions d'Android avec les OEM à un stade beaucoup plus précoce. Ainsi, au moment où les premiers aperçus des développeurs d'Android 14 ont été rendus publics, Samsung l'avait probablement jeté un coup d'œil dans les coulisses pendant environ quelques mois. Quant aux correctifs de sécurité, ils sont partagés en privé un mois plus tôt pour donner aux fabricants une longueur d'avance.
Ainsi, bien que tout cela soit bien beau, les gens gardent souvent leurs téléphones plus longtemps que quelques années. La sortie d'un nouveau micrologiciel représente toujours une quantité de travail non négligeable, et ces ingénieurs ne travaillent pas gratuitement. Le projet Mainline en 2019 a rendu Android lui-même plus modulaire, avec des modules logiciels pour des choses comme le WiFi, le Bluetooth, la gestion des médias, et bien plus encore. Ces modules peuvent ensuite être directement mis à jour par Google ou par le fabricant séparément, sans avoir à passer par tout le processus de mise à jour du firmware.
Si vous avez déjà vu une mise à jour du système Google Play sur votre téléphone, c'est ce que c'est. Pensez-y comme ceci : si une ampoule souffle dans votre maison, vous pouvez maintenant simplement changer l'ampoule... alors qu'avant, vous alliez dehors, brûliez votre maison et en construisiez une nouvelle au-dessus de il.
Les alertes à la sécurité d'Android se produisent toujours, même en 2023. Mais la différence aujourd'hui, par rapport à l'époque toxique de l'enfer, c'est qu'il existe de nombreux outils pour les neutraliser. Prenez la vulnérabilité Stagefright de 2015, par exemple. La partie d'Android affectée par ce bogue est aujourd'hui un module Project Mainline, et il est facilement mis à jour jusqu'à Android 10 sans mise à jour complète du micrologiciel.
Autre exemple, en 2014, le bogue "Fake ID" pouvait permettre à une application malveillante de se faire passer pour une application avec des autorisations spéciales, exposant potentiellement vos données à un attaquant. Si quelque chose comme ça se produisait aujourd'hui, Play Protect l'arrêterait dans son élan, et le bogue sous-jacent pourrait être rapidement éliminé dans une mise à jour Mainline du module d'exécution Android. En plus de cela, Google a également fait beaucoup sous le capot autour du cryptage et de la gestion de la mémoire pour rendre plus difficile de faire quoi que ce soit d'utile avec les futures vulnérabilités d'Android si et quand elles apparaissent.
Aucun logiciel n'est jamais totalement sécurisé. Les exploits 0-day, c'est-à-dire les vulnérabilités secrètes non corrigées, existent pour tous les systèmes d'exploitation et sont utilisés par les États-nations et vendus pour des sommes importantes sur le marché noir. Il existe de nombreux exemples récents d'individus de haut niveau ciblés par des logiciels malveillants effrayants et sophistiqués basés sur des jours 0 : des personnes comme Jeff Bezos, Emmanuel Macron et Liz Truss. En 2022, l'ancien Premier ministre britannique aurait dû continuer à changer de numéro de téléphone après avoir été piraté, soi-disant par des agents russes. Finalement, son appareil a été jugé si complètement compromis qu'il a été enfermé, en gros, dans l'équivalent smartphone du sarcophage de Tchernobyl.
Si vous vous demandez pourquoi elle changeait de numéro de téléphone, il est possible que son téléphone ait été ciblé par quelque chose comme Pegasus, le logiciel espion de fabrication israélienne qui pourrait prendre le contrôle des appareils Android ou iOS simplement en ayant leur numéro de téléphone. La Russie n'utiliserait apparemment pas de logiciels espions fabriqués à l'étranger, mais il est probable qu'ils aient leur propre équivalent local basé sur des exploits similaires de 0 jour.
Tout cela montre qu'une sécurité à 100 % est une illusion - elle est inaccessible, quel que soit l'appareil ou le système d'exploitation que vous utilisez. Néanmoins, Android est bien au-delà d'être un "enfer toxique de vulnérabilités" de la même manière que vous auriez pu dire qu'il y a dix ans. Il est bien mieux placé pour s'attaquer aux menaces diverses auxquelles pourraient être confrontés ceux d'entre nous qui ne sont pas chefs de gouvernement ou PDG d'une entreprise d'un billion de dollars.
De plus, la personne moyenne est beaucoup plus susceptible d'être victime d'ingénierie sociale ou d'une autre escroquerie que de se faire piquer par des logiciels malveillants basés sur le téléphone. Ce type de fraude est en augmentation dans de nombreux pays, et au Royaume-Uni, il a augmenté de 25 % entre 2020 et 2022, la plupart des cas impliquant une utilisation abusive de l'ordinateur. Au fur et à mesure que la sécurité des smartphones s'est améliorée, on pourrait dire que de nombreux méchants se rendent compte qu'il est en fait plus facile d'exploiter le composant visqueux et charnu attaché à l'écran : vous.
Je suis Adam Conway, un fanatique de technologie irlandais avec un BSc en informatique et je suis le rédacteur technique en chef de XDA. Ma thèse de baccalauréat a été menée sur la viabilité de l'analyse comparative des éléments non fonctionnels des applications et des smartphones Android, tels que les performances, et je travaille d'une manière ou d'une autre dans l'industrie technologique depuis 2017. Pendant mon temps libre, vous me trouverez probablement en train de jouer à Counter-Strike ou VALORANT, et vous pouvez me contacter à [email protected], sur Twitter sous @AdamConwayIE, sur Instagram sous adamc.99 ou u/AdamConwayIE sur Reddit.
Alex couvre la technologie mobile depuis plus d'une décennie. Il dirige actuellement le contenu vidéo de XDA, qui consiste à pointer des caméras sur des gadgets brillants et à parler dans un microphone.
XDA VIDÉO DU JOUR FAITES DÉFILER POUR CONTINUER AVEC LE CONTENU