Securitywatch: Android vs iOS, qui est plus sécurisé? | max eddy

C'est un conte aussi ancien que le temps: écrire un article polémique sur deux marques concurrentes afin de faire jouer les fanboys les uns contre les autres dans les commentaires. Danse, mes marionnettes. Votre envoi de rage accumule les vues uniques et paie mon salaire. Pourtant, alors que je scrute l'épave humaine, le brandy renifleur à la main, je considère: l'iPhone est-il vraiment plus sécurisé qu'Android? L'approche "assez bonne" d'Android en matière de sécurité est-elle vraiment assez bonne? Et si, malgré les succès remportés, les deux plates-formes échouaient de manière importante?

Sécurité à la manière Apple

Apple est généralement présenté comme le grand gagnant en termes de sécurité mobile. Franchement, il est difficile de contester cette évaluation à première vue. Grâce au contrôle sans précédent d'Apple sur l'expérience iPhone et iOS, la plupart des utilisateurs reçoivent et installent des mises à jour logicielles et des correctifs de sécurité. C'est essentiel et c'est un facteur de différenciation majeur par rapport à Android.

Apple a réussi à maîtriser sa chaîne logistique et, grâce au processus de validation de l'App Store, à garder le contrôle des applications de développeurs indépendants. Il s’agit également d’un processus controversé, les applications étant rejetées pour des raisons apparemment arbitraires, mais qui a largement préservé l’App Store de tout programme malveillant.

En ce qui concerne la sécurité, Apple semble utiliser une approche "tout ce qu'il faut". Un bon exemple est sa plate-forme Messages (anciennement iMessage). Cela peut sembler être un message texte partagé entre un téléphone et un ordinateur, mais une présentation de Black Hat d'il y a quelques années montrait clairement que ce n'était pas le cas. Apple a entièrement conçu la plate-forme pour qu'elle soit cryptée de bout en bout et aussi inviolable que possible. Les serveurs de messages, par exemple, ont besoin que des clés matérielles soient activées. Une fois les serveurs opérationnels, ces clés sont détruites, ce qui empêche toute personne, même Apple, d’espionner les utilisateurs ou d’altérer le système. C'est énormément complexe, mais ça marche.

La sécurité à la manière d'Android

Google a longtemps fait valoir que le système était suffisamment sécurisé . Non, toutes les applications malveillantes téléchargées dans Google Play n'ont pas été détectées. Oui, plusieurs vulnérabilités majeures ont été découvertes dans le système d'exploitation par les chercheurs. Oui, l'ouverture d'Android et une base installée fractionnée en plusieurs versions du système d'exploitation Android ont mis les clients en danger. Mais les représentants de Google ont fait remarquer que sur le milliard d'utilisateurs environ, seule une infime fraction, environ 1%, rencontrerait un comportement malveillant. Cela dit, même un pour cent d'un milliard, c'est beaucoup . Comme, 10 millions de beaucoup.

À son crédit, Google a changé de ton. Les mises à jour du système d'exploitation Android imposent de plus grandes restrictions sur le type d'informations pouvant être collectées par les applications. La société a abandonné son modèle d'autorisations tout-ou-rien en faveur d'une approche à saveur Apple, selon laquelle les utilisateurs peuvent accepter de laisser une application accéder à leur appareil photo mais pas à leur liste de contacts. Google est également passé à une cadence beaucoup plus rapide pour ses mises à jour de sécurité, poussant plus de correctifs vers plus de périphériques.

Le plus gros changement de Google a été plutôt subtil. Google a déplacé ses efforts de sécurité au sein d'Android, dans les Google Play Services, que Google peut mettre à jour, quelle que soit la version du système d'exploitation utilisée. Cela permet des programmes tels que Safety Net, qui permet à Google de détecter les programmes malveillants présents sur les appareils, même ceux qui ont été chargés de l'extérieur du magasin Google Play.

À partir de là, Google n'a pas seulement étendu les fonctionnalités de sécurité d'Android, mais a également travaillé pour transformer les appareils Android en appareils de sécurité. Google a récemment annoncé que les appareils Android pouvaient être utilisés comme dispositifs d'authentification à deux facteurs FIDO2, offrant l'une des options 2FA les plus flexibles et les meilleures à tout propriétaire d'Android. Si vous vouliez utiliser FIDO2 auparavant, vous devriez dépenser entre 20 et 50 dollars US pour une clé matérielle de type Yubico ou Google.

Ce qu'ils se trompent

Bien que le nombre réel d’infections par logiciels malveillants soit faible, 1% des utilisateurs d’Android ayant rencontré un logiciel malveillant n’a jamais été distribué de manière égale entre tous les utilisateurs d’Android. Selon les statistiques de 2015, il concernait principalement les utilisateurs d'appareils peu coûteux, souvent dans les pays en développement. Cela a vraiment coincé dans mon craw depuis le jour où je l'ai entendu. Le risque de ces dispositifs était poussé de manière disproportionnée vers ceux qui avaient le moins de moyens pour résister à une arnaque ou à une attaque.

Malgré les efforts de Google pour nettoyer les applications Android et Android, le modèle nécessite une certaine quantité de participation des développeurs. Google a besoin de convaincre les développeurs de faire les choses différemment et d'utiliser les nouveaux outils plus sûrs fournis par l'entreprise. Google a introduit des bâtons et des carottes pour attirer les développeurs, mais avec un succès mitigé. Cela est encore aggravé par la nature fracturée d’Android, avec trois versions distinctes représentant chacune plus de 20% de la base installée et des éclats encore plus minuscules que d’autres versions. Cela signifie qu'un public non négligeable ne bénéficie toujours pas des dernières améliorations du système d'exploitation et que les développeurs peuvent continuer à les cibler à l'aide d'applications.

La stratégie d’Apple n’a pas non plus été sans conséquences pénibles pour les utilisateurs. Son approche progressive des améliorations de la sécurité signifie qu’il faudra probablement un certain temps avant qu’un iPhone puisse être utilisé comme authentificateur 2FA FIDO2, si cela se produit. Je ne peux même pas utiliser mon YubiKey 5 NFC existant avec un iPhone car celui-ci ne prend pas encore en charge le FIDO2 sur NFC.

Apple a également mis du temps à adopter l’intégration du gestionnaire de mots de passe, rendant plus difficile la meilleure chose que les gens puissent faire pour protéger leurs informations.

Le plus grand péché de sécurité d’Apple, cependant, est que sa stratégie «quoi qu’il prenne» a un prix élevé. Le téléphone le plus abordable encore disponible auprès d’Apple est l’iPhone 7, qui coûte 449 dollars, bien que des réductions d’échange puissent être appliquées, de même qu’un forfait de paiement de 18, 99 dollars par mois. De nouveaux téléphones Android de bonne qualité, en revanche, peuvent être achetés pour aussi peu que 220 $. Le prix élevé d'un appareil Apple envoie un message assez clair: si vous n'êtes pas assez riche, vous ne pouvez pas bénéficier de la sécurité Apple. Si iOS est en dehors de la fourchette de prix de nombreux consommateurs, Apple ne les protège pas.

Rien de tout cela ne résout même le fait que le spam, le phishing et la fraude constituent les principales menaces pour les utilisateurs d’iOS et d’Android. Ceux-ci peuvent prendre la forme de publicités malveillantes, d’escroqueries par SMS et de courriels de phishing. Les deux plates-formes ont pris des mesures pour relever le défi, mais nous devons garder à l'esprit que, bien que le spam et l'hameçonnage ne soient pas aussi sexy que les logiciels malveillants conçus par le gouvernement, ils constituent la véritable menace pour les consommateurs.

Android et iOS peuvent faire mieux

Non seulement je pense que c’est une mauvaise écriture d’affirmer qu’une plate-forme est meilleure que l’autre, je pense vraiment qu’il existe un fossé énorme entre la manière dont Apple et Google abordent la sécurité mobile. Les entreprises ont des objectifs et des modèles commerciaux différents et ont résolu ces problèmes de sécurité.

• Avec Android P, Google arrête de rattraper son retard sur la sécurité avec Android P, Google s’arrête de rattraper son retard sur la sécurité
• Apple iOS 12 Apple iOS 12
• Tarte Google Android (9.0) Tarte Google Android (9.0)

La sale vérité est qu'Apple et Google réussissent tous les deux en matière de sécurité - si vous le regardez à travers l'objectif de leurs modèles commerciaux respectifs. Google doit maintenir une alliance massive et mal à l'aise entre développeurs de logiciels et de matériel, afin de continuer à exécuter le système d'exploitation le plus populaire de la planète. Quelques erreurs peuvent survenir, à condition que toutes ces relations restent solides.

Apple, en revanche, sait que sa réputation est primordiale. Parce que les gens se sentent en sécurité sur les iPhones, ils se sentent en sécurité pour dépenser de l'argent à la fois sur les iPhones et (de plus en plus important) avec les iPhones. La société se déplace très lentement et délibérément afin de réussir du premier coup, ce qui la ralentit parfois parfois pour adopter les nouvelles technologies.

Au lieu de choisir un gagnant, tenons ces deux géants de la technologie pour responsables de leurs manquements. À la fin de la journée, il est fort probable que vous disposiez d’un appareil contenant l’ensemble de vos informations personnelles provenant de l’une de ces deux sociétés. Ainsi, aucune d’entre elles ne peut se permettre d’être satisfaite des réalisations passées ou des améliorations récentes.