Fragilité du noyau Linux, gestion hasardeuse des certificats, faiblesses dans le chiffrement des données, vulnérabilité de la technologie TrustZone associée aux lecteurs d’empreintes digitales… La sécurité d’Android est l’une des thématiques fortes de la conférence Black Hat USA 2015, organisée du 1er au 6 août à Las Vegas.
Présent sur place, Google a mis l’accent sur les précautions prises par ses soins pour limiter l’exposition de son OS aux cybermenaces. Ses équipes ont notamment mis en avant une étude interne selon laquelle « moins de 0,15 % des terminaux Android » – sur lesquels les applications sont téléchargées exclusivement via le Play Store – sont infectés par une quelconque forme de malware.
Les mesures en questions sont listées sur cette page. Quelques-unes d’entre elles ont fait l’objet d’une présentation plus en détail par Adrian Ludwig, ingénieur au sein du groupe Internet.
On citera notamment la technologie ASLR (« Address Space Layout Randomization »), qui cache certaines adresses mémoire pour rendre le code moins prédictible par des pirates. Google vulgarise le concept en évoquant « le fait d’être dans une ville que l’on ne connaît pas, sans carte, sans points de repère et sans parler la langue locale ».
L’ASLR est intégralement prise en charge depuis la sortie, à la mi-2012, d’Android 4.1 « Jelly Bean ». Elle est donc, selon les derniers relevés officiels, opérationnelle sur environ 85 % des appareils propulsés par le système d’exploitation de Google.
Autres remparts contre les attaques informatiques : NX (« No eXecute », qui segmente les zones mémoire pour limiter l’exécution de code), Fortify Source (anticipation des dépassements de capacité mémoire) et RELRO (« Read-Only Relocations », qui protège certaines données contre l’écrasement en cas de saturation de l’espace de stockage).
Certaines failles peuvent néanmoins passer à travers les mailles du filet, comme le concède Adrian Ludwig. C’est précisément pour cela que Google a mis en place un programme baptisé Android Security Rewards.
Le montant des récompenses accordées dans le cadre de cette initiative est plus élevé pour les chercheurs qui incluent un rapport détaillé sur les bugs qu’ils ont déniché, un moyen de les reproduire, des scénarios d’exploitation, voire un correctif.
Dans l’état actuel, n’est couverte que la dernière version d’Android disponible pour les smartphones et tablettes commercialisés sur le Play Store aux États-Unis. C’est-à-dire le Nexus 6 et la Nexus 9 (les autres appareils, de type Nexus Player ou Android Wear, ne sont pas concernés).
La démarche est vouée à s’étendre, mais la priorité pour Google est d’obtenir davantage de retours sur l’efficacité de ses technologies de défense. A l’heure actuelle, la communauté est plutôt dans une dynamique de recherche de bugs ; pas dans une logique de mise à l’épreuve des technologies de protection d’Android.
Au-delà de l’aspect préventif, Google mise aussi sur la réactivité. Par exemple face à la faille Stagefright , révélée fin juillet et qui exposerait 95 % des smartphones Android à une attaque par le biais d’un simple MMS contenant une vidéo piégée : un correctif est en cours de déploiement depuis ce mercredi.
En première ligne, la gamme Nexus*, que Google commercialise en marque blanche. Mais les constructeurs partenaires ont aussi reçu la mise à jour, qui devrait pouvoir être déployée ce mois-ci. L’opérateur américain Sprint a d’ores et déjà annoncé que ce serait le cas sur les Samsung Galaxy S5, S6, S6 Edge et Note Edge.
Le correctif en question est appliqué à Messenger, l’application utilisée par défaut pour envoyer et recevoir SMS et MMS. Il ouvre la voie à un nouveau modèle de diffusion des mises à jour de sécurité : tous les mois, en plus des mises à niveau d’Android.
Samsung va suivre la même logique. Le groupe sud-coréen explique que des discussions sont en cours avec les opérateurs pour « implémenter au mieux cette approche ».
* Promesse de Google : tous les Nexus recevront des mises à jour pendant au moins deux ans. Ils bénéficieront aussi de correctifs pour un minimum de trois ans après leur lancement commercial ou de 18 mois après leur fin de vente (la plus longue des deux périodes sera retenue).
Crédit photo : Pavel Ignatov – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…