Vidéo: La loi "sécurité globale", une menace pour la liberté d’informer ? L'Instant M (Novembre 2024)
Sauf si vous avez acheté le téléphone ou la tablette récemment, il y a de fortes chances que votre appareil Android utilise une version obsolète du système d'exploitation, ce qui vous expose à de graves risques de sécurité.
Les dernières données de Google indiquent que 44% des utilisateurs d'Android utilisent encore "Gingerbread" ou les versions 2.3.3 à 2.3.7 publiées il y a deux ans. Gingerbread présente un certain nombre de vulnérabilités en matière de sécurité qui ont été corrigées dans les versions ultérieures. Les données de ventilation du système d'exploitation sont basées sur les statistiques collectées depuis les appareils Android connectés à Google Play du 22 février au 4 mars.
Selon Google, 16% seulement des appareils Android utilisent la version 4.1 ou 4.2 du système d'exploitation mobile. Aussi connue sous le nom de "Jelly Bean", la dernière version d'Android a été publiée il y a six mois, mais la majorité des utilisateurs d'Android n'ont pas été en mesure de passer au nouveau système d'exploitation, car le processus est étroitement contrôlé par les opérateurs.
"Le problème avec Android, c’est que la plupart des gens ont d’anciennes versions sur leur téléphone", a déclaré Collin Mulliner, chercheur postdoctoral au SECLAB de la Northeastern University de Boston, lors d’une table ronde sur la sécurité mobile tenue à la conférence RSA du mois dernier.
Lors de notre Sommet SecurityWatch de l’automne dernier, Dan Guido, PDG et cofondateur de Trail of Bits, a indiqué que la majorité des appareils iOS sont mis à jour en quelques semaines, voire quelques jours, par Apple qui publie le nouveau système d’exploitation.
Les opérateurs mobiles en retard sur les mises à jour
"L'un des aspects les plus importants de la sécurité logicielle aujourd'hui est la possibilité de mettre à jour à distance", a déclaré Mulliner. Alors que les utilisateurs peuvent lancer eux-mêmes la mise à jour du système d'exploitation pour iPhone et iPad, Android, les opérateurs de téléphonie mobile contrôlent tout le processus pour les appareils Android. À l’heure actuelle, leur record collectif en matière de diffusion de mises à jour pour les utilisateurs est absolument catastrophique.
Le problème est que la plate-forme ouverte d'Android permet aux fabricants de périphériques et aux opérateurs de paramétrer le système d'exploitation pour regrouper des logiciels supplémentaires et définir certains paramètres de configuration. Chaque fois que Google publie une mise à jour du système d'exploitation, le fournisseur et les opérateurs doivent tester les modifications sur leurs systèmes homebrew avant de déployer la dernière version. Les opérateurs prétendent que le processus est lent, mais de nombreux experts en sécurité estiment que les opérateurs privilégient le profit à la sécurité.
Certains téléphones ne bénéficient tout simplement pas de la dernière mise à jour d'Android, car ils sont en train de disparaître ou sont d'anciens modèles, a déclaré Chris Soghoian, chercheur en matière de protection de la vie privée et militant, lors d'un événement différent plus tôt cette année. Les fabricants concentrent leurs efforts sur les appareils actuellement en vente et sur le marché, et les opérateurs de téléphonie mobile "ne se soucient de vous que tous les deux ans" lorsque le contrat de l'utilisateur est sur le point d'être renouvelé, a déclaré Soghoian. Par exemple, un smartphone LG Android n'a pas reçu sa première mise à jour du système d'exploitation pendant 16 mois et de nombreux téléphones n'ont même jamais reçu cette première mise à jour, encore moins une seconde.
Étant donné que Google a publié une nouvelle version environ tous les six mois, il est facile de voir à quelle vitesse les utilisateurs peuvent devenir obsolètes.
Charlie Miller, un chercheur réputé pour son travail sur la sécurité iOS et Android, a déclaré lors d'une même conférence à Londres que les utilisateurs d'Android n'étaient pas menacés par une attaque au volant impliquant l'utilisateur simplement en visitant un site malveillant. la conférence RSA.
"Les gens pensent que la conduite au volant est une menace sérieuse, mais dans la vraie vie, cela n'arrive tout simplement pas", a déclaré Miller. En ce qui concerne Android, le plus gros risque pour les utilisateurs est le fait que leurs appareils utilisent des versions obsolètes et sans correctif du système d'exploitation, a-t-il déclaré. Les dernières versions d'Android ont des correctifs de sécurité et des atténuations améliorées des exploitations.
Les cybercriminels savent que les utilisateurs exécutent des systèmes d'exploitation vulnérables. Tout ce que les criminels ont à faire est de libérer une application malveillante exploitant une vulnérabilité dans une ancienne version d'Android et d'atteindre une partie importante de la base d'utilisateurs.
Comme Soghoian l’a fait remarquer plus tôt, "il n’est pas nécessaire de passer à zéro jour pour attaquer la plupart des appareils Android si les clients utilisent un logiciel vieux de 13 mois".
Malheureusement, cette situation ne devrait pas changer si les opérateurs ne prennent pas la sécurité au sérieux ou si Google arrête le contrôle du processus de mise à jour. L’appareil Android le plus sécurisé est le smartphone Nexus 4 de Google, dans la mesure où la société contrôle totalement les mises à jour.
