Vidéo: RSAC x ELLA — NBA (Не мешай) (OFFICIAL VIDEO) (Novembre 2024)
Lors de la conférence RSA, Adrian Ludwig, ingénieur en chef de Google pour la sécurité Android, a présenté la philosophie de la société en matière de sécurisation de sa plate-forme mobile. C'est une approche typiquement Google qui repose sur la collecte de données et la création de services. Mais dans le même temps, il semble aller à l'encontre de la sécurité mobile classique.
Sécurité invisible
À plusieurs reprises au cours de l'entretien, Ludwig est revenu à l'idée d'une sécurité subtile. "Une sécurité efficace et invisible évoque le calme", a-t-il déclaré. L'objectif était de permettre à l'utilisateur d'interagir avec son téléphone, sa tablette ou tout ce qui fonctionnait sous Android sans problèmes de sécurité. "Ne pas parler de la sécurité ne veut pas dire qu'il n'y en a pas", a déclaré Ludwig. "Cela signifie que ça marche."
Cette approche est nettement différente de celle de l'industrie de la sécurité dans son ensemble, qui s'appuie fortement sur le "théâtre de la sécurité". Pour lui, cela signifie des applications qui proclament à haute voix combien elles vous protègent. "En fin de compte, la plupart des solutions de sécurité consistent à vous vendre plus de sécurité", a déclaré Ludwig dans une déclaration étonnamment franche lors d'une conférence destinée aux entreprises de sécurité.
Les autorisations étaient l'exception notable. "C'est le seul endroit où nous sommes explicites sur la sécurité de l'utilisateur", a-t-il déclaré. Celles-ci définissent ce qu'une application peut et ne peut pas accéder, et nous avons encouragé les lecteurs à les examiner attentivement pour prendre de bonnes décisions concernant ce qu'elles téléchargent. Ludwig a dit que ce n'était pas vraiment l'intention. "Pensons-nous que les gens vont prendre des décisions intelligentes à chaque fois? Souviens-toi, nous voyons ce que les gens recherchent tous les jours", a-t-il ajouté avec ironie. Il a poursuivi en affirmant que les autorisations existaient moins pour les utilisateurs que pour les aider à aider les développeurs à prendre de bonnes décisions "la plupart du temps".
Cela correspond à une autre des déclarations surprenantes de Ludwig: qu'il ne considère pas Android comme un système d'exploitation, mais plutôt comme une plate-forme de développement. "[Android] était un ensemble d'API destiné à créer des applications puissantes", a-t-il déclaré. "Nous fournissons des services sous forme d'applications."
Ce que Google fournit
Tandis que Ludwig passait un certain temps à expliquer comment les fondements d’Android sécurisaient la plateforme - notamment en remerciant la NSA pour SC Linux -, il évoquait également des services Google plus visibles. Par exemple, il a affirmé que les efforts de Google en matière de détection de programmes malveillants sur Google Play dépassaient ceux de l’ensemble du secteur audiovisuel. Bien qu'il ait reconnu que ce n'était pas infaillible.
En plus d'un autre outil évident comme Android Device Manager, Ludwig a mis en avant le service Google Apps Verified, qui offre une certaine protection aux utilisateurs qui installent des applications en dehors du Play Store. "Vous l'avez probablement sur votre téléphone et vous ne le savez pas, car c'est ainsi que nous roulons", a déclaré Ludwig.
Il y a aussi le filet de sécurité Android, qui, selon Ludwig, étend la protection en temps réel aux appareils eux-mêmes. Cela permet de détecter d'éventuels abus, par exemple de demander fréquemment l'envoi de SMS SMS premium, une tactique courante utilisée pour monétiser des applications malveillantes.
"J'imagine qu'il s'agit du plus grand déploiement de services de sécurité au monde", a déclaré Ludwig.
La diversité et l'ouverture sont bonnes
Android est connu comme une plate-forme ouverte et Ludwig a déclaré que cette approche avait fourni des données précieuses sur les bons acteurs, les mauvais acteurs et le comportement normal sur les appareils mobiles. "À mesure que le monde devient plus interactif et que plus de données circulent, la sécurité s'améliore réellement." Ludwig pense que cela diffère grandement des stratégies de sécurité établies, qui dépendent de l'isolement.
Ouverture a signifié un Android fragmenté, mais Ludwig a semblé suggérer que cette diversité était une bonne chose. L'énorme diversité de matériel et de logiciels Android fait qu'il est beaucoup plus difficile d'affecter tous les appareils. "Un seul maître d'or avec un bug affecte des centaines de millions d'utilisateurs", a-t-il déclaré. "Il n'y a pas un seul maître en or [pour Android], chaque appareil est construit à partir d'une source différente."
Etre ouvert a également donné aux entreprises de sécurité une place sur Android. "Nous ne les avons pas empêchés de fonctionner sur notre plate-forme", a-t-il déclaré, faisant sans doute un coup à Apple. Au lieu de cela, Ludwig a déclaré que Google souhaitait la bienvenue aux entreprises de sécurité et qu'Android bénéficie de leur travail.
L’ouverture facilite également la recherche universitaire dans le domaine en pleine expansion de la sécurité mobile. "La sécurité mobile est un euphémisme pour la sécurité Android", a déclaré Ludwig. "Tous les articles traitent de la sécurité Android, car c'est le seul endroit où les chercheurs ont accès dans les appareils mobiles."
Est-ce que ça marche?
Pour démontrer l'efficacité de l'approche de Google en matière de sécurité, Ludwig a analysé l'historique de l'exploit Masterkey, dont les lecteurs attentifs de SecurityWatch se souviendront de l'été dernier. Il a ajouté que Google avait rapidement déterminé qu’il n’existait pas de tels exploits dans le magasin Play quand ils ont été informés de son existence. De plus, après que les chercheurs de Bluebox qui ont découvert l'exploit publient leurs données, Google n'a apparemment suivi que huit tentatives par million d'installations.
Ludwig avait un point de vue similaire sur les logiciels malveillants Android dans leur ensemble, ce qui a été largement rapporté comme étant à la hausse. Il a attribué cela davantage à la prolifération rapide des appareils Android et les données qu'il a présentées montraient un nombre relativement réduit de malwares sur le vaste univers d'Androids. "Vous obtenez des titres incroyables sans que personne ne soit affecté."
Il faut dire que, jusqu'à présent, Google a fait un travail remarquable en matière de gestion de la sécurité sur Android, en particulier compte tenu de la façon dont les smartphones ont fait leur apparition et sont parvenus à dominer l'informatique moderne. Cependant, il reste encore de sérieux problèmes à résoudre, tels que des applications qui fuient et la sécurisation des données personnelles.
Du point de vue de Google, Android a équilibré la sécurité avec grâce. Le maintien de cet équilibre sera probablement la façon dont on jugera Android à mesure qu'il mûrit.