Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les systèmes d’exploitation mobiles sont-ils plus sûrs ?

février 2011 par Emmanuelle Lamandé

Les équipements mobiles intelligents, de type smartphone, PDA, tablette, …, sont aujourd’hui devenus prépondérants dans l’univers des systèmes « connectés » et prennent d’ailleurs peu à peu le pas sur les PC. L’ « intelligence » décuplée de ces gadgets aurait pu nous laisser penser que les systèmes d’exploitation, conçus pour animer ces équipements, soient eux aussi plus « évolués » et mieux sécurisés. Mais rien n’est moins sûr… comme nous le démontre Nicolas Ruff, Expert Sécurité chez EADS Innovation Works, à l’occasion des Microsoft TechDays.

Les systèmes mobiles, quels qu’ils soient, n’ont jamais été sûrs. Aussi, chacun des systèmes existant (Symbian OS, iOS, Android, BlackBerry OS, …) a d’ores et déjà été attaqué avec succès (cf Adam Gowdiak vs Nokia 6310i). Toutefois, force est de constater qu’ils sont de plus en plus attaqués. Plusieurs raisons expliquent, selon lui, ce phénomène :
- Le marché se concentre, donc la diversité des plateformes diminue, à la fois au niveau des systèmes et de la manière de programmer. Le RoI d’une attaque est donc plus rapide ;
- Les téléphones sont de plus en plus connectés à Internet, et le seraient même plus à présent que les ordinateurs. A terme, le PC devrait d’ailleurs être considéré comme un terminal obsolète, au même titre que le minitel aujourd’hui ;
- Les téléphones sont de plus en plus accessibles aux pirates, car les réseaux sont de plus en plus rapides, et le nombre d’applications ne cesse d’augmenter. Les points d’entrée sont donc plus nombreux (SMS, MMS, Web, application) ;
- Il est plus facile de récupérer de l’argent, via les marketplaces notamment. Une attaque devient donc rentable plus rapidement, à la différence du PC où un certain nombre d’étapes sont nécessaires avant de pouvoir monétiser l’information.

L’installation des mises à jour : un écueil majeur de ce système

Afin de réduire les coûts et les délais, les logiciels embarqués dans ces appareils mobiles sont généralement « grand public », donc déjà largement connus. Cet aspect pose de réels problèmes de sécurité, car il est de ce fait plus facile de trouver des failles (Linux, Webkit, …). Celles-ci sont d’ailleurs le plus souvent connues et documentées, sans compter la difficulté de déploiement des correctifs. L’installation des mises à jour représente un écueil majeur de ce système, inhérent à la structure même du marché. La mise à jour automatique à distance de tous les téléphones est impossible car elle implique une collaboration des différents acteurs (fabricant de matériel, de logiciel, opérateur, …). Toutefois, aucun d’entre eux ne veut en assumer la responsabilité, n’y ayant aucun intérêt ... financier bien sûr. Pourtant, il existe des mécanismes de mise à jour du firmware à distance, tels que le protocole de mise à jour FOTA (Firware Over-the-Air)…

10 à 30% des applications disponibles sur les marketplaces seraient « douteuses »

Quant aux applications disponibles sur ces équipements mobiles, elles sont majoritairement gratuites, ce qui mérite un minimum de suspicion et de questionnement. Comment survivre dans un monde « gratuit » ? Pour que le modèle économique opère, il faut bien entendu que chaque partie y trouve son compte. Ce schéma rentre plus ou moins dans le modèle classique de l’économie numérique. On y retrouve donc certaines techniques connues, telles que le spam, les « spyware pour téléphone », …, qui permettent de générer du business ou encore de récupérer le maximum d’informations vous concernant. Plus ils obtiennent d’informations, plus la publicité sera ciblée, plus ils gagneront d’argent. A l’heure actuelle, une part non négligeable (entre 10 et 30%) des applications disponibles sur les marketplaces seraient « douteuses ». Toutefois, il n’existe pas vraiment à ce jour de contrôle formel.

Les outils de sécurité traditionnels ne servent à rien sur les mobiles

Parmi les principales tendances qui devraient se renforcer dans un futur proche, il prévoit, entre autres, le développement d’applications d’entreprises sur mobile et de projets M2M pour objets communicants, mais aussi une utilisation croissante du paiement NFC, ou encore du protocole de mise à jour FOTA.

Pour Nicolas Ruff, le PC va disparaître, à terme, au profit du mobile et des objets communicants. Les enjeux de sécurité de ces équipements s’avèrent donc fondamentaux. Et même, s’il n’y aura pas, selon lui, de virus sur téléphone portable, on observe d’ores et déjà des attaques, provenant majoritairement d’applications malveillantes, avec pour principaux risques l’accès aux contacts, le vol de données ou encore l’espionnage. Face à ces menaces, les outils de sécurité traditionnels, tels que les antivirus, ne servent à rien sur les mobiles. L’utilisateur, quant à lui, n’a aucun contrôle sur les deux points fondamentaux de son mobile (le baseband et l’OS), ... mais les attaquants oui ! Conclusion peu rassurante, on ne peut donc quasiment rien faire pour protéger son téléphone mobile. Toutefois, il ne faut ni confondre ni généraliser : l’Internet mobile n’est pas Internet !




Voir les articles précédents

    

Voir les articles suivants