Verrouiller notre vie privée sur Smartphone

En 2015, avec un milliard de téléphones Android actifs, seulement 0,15 % avaient installé des applications potentiellement dangereuses (PHA) dans Google Play. 0,5% avaient installé des logiciels malveillants dans des magasins non autorisés.

En 2016, avec 2 milliards de systèmes Android, cet indice est tombé à 0,04%. En 2017, jusqu’à 0,02 %.

Comment se protéger ?

Selon Google lui-même, il est plus facile pour une météorite de frapper la Terre que de télécharger une PVVIH. Que Google effectue environ 500 millions de scans par jour à la recherche de toute forme de logiciels malveillants. On est sous surveillance, c’est évident. Et, bien sûr, nous sommes aussi protégés.

Mais combien d’heures et de départements sont impliqués dans l’armement de la sécurité d’un smartphone ? Comme le souligne Rubén Díaz Vega, ingénieur logiciel et responsable de l’intégration Android pour BQ, il n’y a pas de directives strictes. Au sein de la compétence produit, tous les départements opèrent en parallèle et  » environ 20% des équipes Hardware et Software travaillent directement ou indirectement sur la sécurité des équipements « .

Au cours du processus de développement du produit, « le département Mécanique a conçu l’appareil ; le matériel a choisi le capteur et le panneau qu’il va intégrer. Nous intégrons les pilotes pour qu’ils fonctionnent au niveau du logiciel, l’assurance qualité est chargée de vérifier qu’il n’y a pas de faux positifs ou de faux négatifs, et ensuite nous avons un contrôle qualité technique qui est chargé des évaluations techniques et de passer toutes sortes de certifications (comme Google CTS), etc., pour vérifier que tous les composants fonctionnent correctement.

Les tests effectués par l’équipe d’ingénierie sont assez spécifiques, pas de tests de stress, « puisque les vulnérabilités sont très spécifiques et les points d’attaque le sont aussi. Cependant, toutes les fonctions de sécurité de Google sont vérifiées dans notre service qualité. Il s’agit notamment d’une certification spécifique, dans le cadre de la certification Android, visant uniquement à assurer la sécurité de tous les logiciels sur le périphérique, du noyau Linux à l’API de l’application.

Il valide, par exemple, le bon fonctionnement du capteur d’empreintes digitales et son intégration correcte dans le sous-système de sécurité du processeur. Ce service a également la responsabilité de s’assurer  » qu’une mise à jour de l’OTA n’est pas envoyée si elle n’est pas signée avec les clés privées de BQ ou si elle n’a pas fait l’objet de tous les processus de vérification « .

Et à ces tests s’ajoutent ceux que Google distribue gratuitement (et demande) pour tous les systèmes Android. La suite de tests de compatibilité ou CTS. Comme nous l’avons déjà expliqué à d’autres occasions, cette suite vérifie les API, se compose de milliers de tests par module et prend généralement deux jours complets de tests.

Une fois validé et approuvé, il devra encore passer autant de contrôles. A savoir : le GTS (Google Market Suite) détermine la compatibilité pour charger le magasin et le CTS Verifier effectue des tests en mode manuel, pour vérifier l’opérabilité de ce modèle de téléphone particulier.

La sécurité est également impliquée dans cette série de tests matériels et logiciels. Comme le souligne Rubén Díaz, « le CTS d’Android dispose d’un sous-module spécifique pour vérifier la sécurité de tous les logiciels de l’appareil. Et sans leur certification, le téléphone ne peut pas apparaître avec le logo Android sur la boîte.

Recherche de responsables

Donc, si nous recevons un virus d’une nouvelle application Google Play Store, c’est la faute à qui ? Google est très prudent à ce stade « , note Ruben.

« Dans le cas où quelque chose de ce genre se produirait, de nombreux agents doivent agir : si ce virus arrive à cause d’une vulnérabilité dans Android, Google devra publier un patch pour le corriger. Ensuite, le fabricant du téléphone mobile doit s’efforcer d’envoyer une mise à jour avec ce correctif aux smartphones concernés.

Et l’utilisateur ? Dans la chaîne de commandement, il a le dernier mot. Nous devons surveiller et maintenir l’appareil à jour dans la dernière version et éviter de modifier le firmware, par exemple en le faisant pivoter. Si un utilisateur déverrouille les identifiants du super-utilisateur, accède à la racine, transite par un autre magasin et commence à télécharger n’importe quelle application – les classiques.apk non signés – les problèmes sont la responsabilité directe de l’utilisateur.

Dans les tutoriels, ils expliquent comment accéder à ces informations d’identification. Nous savons que nous pouvons le faire en allant dans Paramètres > Informations téléphoniques (A propos du téléphone) et en cliquant 7 fois consécutives sur le’Numéro de compilation’, un numéro de compilation qui inclut les données de la version OS, la branche code de la version, la date et le type de version exact appliqué par le développeur du téléphone. Mais peut-être ne connaissons-nous pas les implications de cette « porte dérobée ».

Lorsque nous installons une application, vous installez également un gestionnaire de permissions. L’utilisateur choisit à quel niveau ouvrir ou ne pas ouvrir cette porte. « Si vous téléchargez uniquement des applications PlayStore, les permissions sont contrôlées, au niveau Linux, chaque application fonctionne dans un processus, et ainsi de suite « , explique Ruben. Lorsque nous prenons une photo sur WhatsApp pour la première fois, nous vous demandons l’autorisation d’accéder à l’appareil photo, par exemple.

Tout est sous contrôle.

Dans tous les cas, les fabricants sont responsables de l’intégration des correctifs de sécurité Google le plus rapidement possible ; les utilisateurs doivent donner leur « accord final ». Et où est-il plus courant de trouver une lacune, dans le logiciel des sous-systèmes ou à travers l’OS lui-même ?

« En raison de sa taille, dans le système d’exploitation lui-même. C’est pourquoi Google publie des bulletins de sécurité mensuels avec des correctifs que chaque fabricant doit inclure dans les mises à jour suivantes. D’où l’importance d’être toujours à jour. Pour sa part, BQ s’engage à mettre à jour les dispositifs avec des correctifs de sécurité jusqu’à 90 jours après leur lancement par Google.

Le constructeur et ses départements Ingénierie et Sécurité occupent une place capitale dans la chaîne de communication : ils intègrent l’AOSP (Android Open Source Project), mais collaborent également à la maintenance et aux tests.

Comme Elena Kovakina l’a souligné pour Wired, analyste de logiciels malveillants chez Android, « il y a une idée fausse selon laquelle chez Android Security, nous ne regardons que les applications qui sont envoyées à Google Play. Google Play Protect et d’autres services de détection collectent des données générales, « même avec des tiers comme les banques », simulant différents scénarios d’attaque.

En fait, ce data mining s’effectue avec le terminal hors ligne. Dans le rapport cité au sommet, sur près de 39 millions d’applications potentiellement dangereuses détectées, 35% l’ont été dans des terminaux sans connexion Internet. 10 millions de tentatives d’intrusion dans le système bloqué sans avoir besoin d’accéder aux réseaux. Comment ? avec le pack de protection Google Play Protect. Évidemment, cette collection contient toutes sortes de données.

Cette couche de sécurité supplémentaire s’appuie sur deux atouts majeurs : l’apprentissage machine et les algorithmes cryptologiques déjà implémentés. Google Play Protect est mis à jour régulièrement, sans attendre une mise à jour OTA.

Jusqu’à 60,3 % des PVVIH identifiées ont été réalisées grâce à l’apprentissage automatique, une intelligence qui évolue et s’améliore à chaque mise à jour. Google Play Protect est l’antivirus complet : étant natif de la plate-forme, son impact et sa consommation de ressources sur le CPU sont minimes. De plus, les temps de communication sont raccourcis, contrairement aux bases de données de tiers.

De l’autre côté du scénario se trouve le fabricant du processeur (CPU/GPU et autres composants du système sur puce). Dans le cas de BQ, Qualcomm est responsable :  » BQ communique directement avec Qualcomm et Google, de sorte que tous les commentaires que nous recevons de nos propres processus qualité, de nos programmes bêta et de nos utilisateurs finaux sont rapportés et traités directement.

Mais cette communication ne couvre pas tous les axes de développement :  » de nombreuses fonctions de sécurité ne relèvent que de Qualcomm. C’est à eux et à personne d’autre de posséder le code source de ces éléments de sécurité. Nous nous contentons de l’intégrer et de prendre la responsabilité de le faire fonctionner.

Si, par exemple, une fonction verrouille le terminal après « trop de tentatives de déverrouillage d’empreintes digitales », « Qualcomm ne veut pas que vous puissiez modifier les paramètres pour passer de 10 à 1 000 tentatives », compromettant ainsi la chaîne de certification et les principes de sécurité du système.

Le meilleur moyen de renforcer la sécurité n’est pas d’utiliser un antivirus.

Comme nous l’avons souligné  il y a deux ans (Est-il vraiment nécessaire d’installer un antivirus sur Android ?), « Les antivirus nuisent beaucoup aux performances de votre Android et ont plus d’inconvénients que d’avantages ».

D’autre part, d’autres mesures sont efficaces et nécessaires, telles que les réseaux de connexion privés (VPN) devant un réseau Wi-Fi ouvert. « Lorsque vous utilisez un VPN, les informations laissent votre appareil crypté et ne peuvent être décryptées qu’au point d’accès de votre VPN. Vos informations personnelles voyagent cryptées sur le réseau WiFi ouvert auquel vous êtes connecté « , nous rappelle BQ.

Les réseaux ouverts doivent toujours rediriger vers une passerelle de connexion. Si nous nous connectons et donnons un accès immédiat, nous devons nous méfier. Tout simplement parce que « les https doivent être certifiés ». Peut-être qu’un VPN ralentit la navigation. Rappelez-vous que le trafic ne va pas directement sur le serveur, mais se rend sur le serveur VPN. Plus de bouts, plus de voyages. Mais plus de sécurité, après tout.

Il existe des aides très attractives : NordVPN redirige et crypte le trafic pour obtenir une connexion cryptée et sécurisée. Orbot est un proxy gratuit qui utilise Tor pour chiffrer le trafic Internet. Les applications comme Secure Mail utilisent le chiffrement par mot de passe. Signal fournit un cryptage de bout en bout pour sécuriser toutes les communications.

Regarder vers un horizon (sûr)

Tout n’est pas rose, mais plutôt rouge : les rançons ont augmenté jusqu’à 150% en 2017. Le défi de l’accélération des méthodologies sera toujours présent. Bien que cela ne soit pas pratique pour l’utilisateur, l’informatique quantique peut détruire le cryptage SHA-2 et le cryptage 40-512 bits, car les systèmes atteindront un nouveau plafond d’opérations par seconde. Une qui peut faire exploser les mannequins d’aujourd’hui.

La sécurité est réactive et l’utilisateur devra faire partie de cette chaîne, au moyen d’une identification en deux étapes, de navigateurs sécurisés, de VPN dans les réseaux WiFi, etc. Heureusement, les systèmes fermés sont plus sûrs. Android (et le noyau Linux, par extension) a des avantages par rapport à un PC classique : « se tenir à jour, ne pas modifier le firmware d’origine et ne télécharger que des applications depuis des sites de confiance » nous serons probablement protégés.

En fait, nous sommes le maillon le plus faible de la chaîne : les utilisateurs n’ont pas besoin d’être des experts en cybersécurité.

Dans nos lignes directrices pour éviter le piratage cryptographique, nous ne pouvons pas contribuer beaucoup plus : « utiliser des navigateurs fiables, tels que Chrome ou Firefox, et ne pas accéder aux pages Web cataloguées comme « dangereuses ». Par exemple, avec SafeBrowsing, Google maintient une énorme base de données de sites Web au contenu malveillant. Grâce à son API publique, toute application peut interroger une URL avant de la montrer à l’utilisateur, l’avertissant si elle n’est pas fiable. Chrome à lui seul affiche environ 1 million de publicités par mois « , nous dit Ruben Diaz.

Et de la reconnaissance d’empreintes digitales aux scanners rétiniens, en passant par les scanners de sueur ou de visage, les modèles de sécurité de l’avenir immédiat ne feront que développer de nouvelles couches.

La sécurité de l’avenir passera aussi par « des processeurs plus sûrs qui ajouteront plus de fonctionnalités aux développeurs pour implémenter de nouvelles fonctionnalités. Il y aura également un nouvel algorithme ou des implémentations basées sur l’apprentissage machine qui utiliseront des modèles d’utilisation mobile pour identifier le propriétaire. Et il y aura du nouveau matériel biométrique, comme ce fut le cas avec FaceID sur iPhone X.

About:


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *