Sécurité IT : les leviers de Google pour protéger la forteresse Android

Dans l’absolu, la fragmentation d’Android constitue un avantage en matière de sécurité : il est plus difficile de contaminer tout l’écosystème.

Google établit ce constat en introduction d’un rapport (document PDF, 49 pages) dans lequel sont résumées les mesures prises en 2015 pour renforcer les défenses de l’OS.

Le groupe Internet évoque notamment l’importance des technologies de machine learning, qui lui ont permis d’effectuer des analyses plus rapides et plus précises des menaces, avérées ou potentielles : à la fin de l’année, la capacité d’examen était de 35 millions d’APK par jour.

Il rappelle également les améliorations apportées avec Android 6.0. Tout particulièrement la prise en charge native des lecteurs d’empreintes digitales. Avec un net bénéfice sur la sécurité des appareils : 91,5 % des Nexus 5X et 6P (équipés de ce type de capteur) ont un écran de veille activé, contre 55,8 % des Nexus 5 et 6 (qui n’en disposent pas).

L’autre modification notable côté utilisateur se trouve au niveau des permissions, avec une approche granulaire : il n’est plus nécessaire d’accepter toutes les demandes d’une application pour l’installer – auparavant, on ne pouvait éliminer des permissions qu’a posteriori.

Passé la généralisation du chiffrement sur les terminaux qui le prennent en charge, Google évoque l’extension de son programme Vulnerability Rewards à Android. Plus de 210 000 dollars y ont été consacrés en 2015, pour rémunérer les chercheurs qui avaient déniché près d’une centaine de failles, dont 30 critiques.

L’année 2015 a aussi marqué la mise en place d’une diffusion de bulletins de sécurité à fréquence mensuelle, sur le modèle du Patch Tuesday de Microsoft. Plus de 100 vulnérabilités, dont 69 critiques, ont été corrigées par ce biais depuis le premier bulletin du mois d’août.

Des clusters pour mieux trier

Les relations avec les développeurs ont évolué en parallèle. Ces derniers ne peuvent plus, entre autres, pousser de mises à jour de leurs applications sur le Play Store tant qu’ils n’ont pas corrigé les failles qui leur ont été signalées depuis plus de 90 jours.

Google a par ailleurs amélioré la détection des clusters de comptes gérés par un même développeur. Une manière d’anticiper la diffusion massive d’applications potentiellement malveillantes (PHA, pour « Potentially harmful applications »).

Ces dernières restent la principale menace pour le monde Android, quand bien même elles ont touché, en 2015, moins de 0,5 % des appareils (et moins de 0,15 % pour ceux connectés uniquement au store officiel Google Play).

C’est dans ce contexte que s’inscrivent les nouveautés apportées à la composante Verify Apps des Google Mobile Services, avec tout particulièrement la possibilité de supprimer des applications qui disposent des privilèges de niveau administrateur. L’interface a évolué dans le même pour éviter les fausses manœuvres et sensibiliser davantage les utilisateurs.

Pots de miel et heuristique

On relèvera aussi ces améliorations dans l’analyse du code, qu’elle soit statique ou dynamique. Les deux dimensions ont été associées pour permettre d’examiner le plus en profondeur possible des applications qu’un système automatisé ne pourrait pas exploiter – typiquement, parce qu’il faut s’identifier.

Google mentionne en outre les choix faits en matière de disponibilité d’API, d’isolation des zones mémoire, de séparation des rôles, de conteneurisation, etc. Des décisions aidées par la mise en place de techniques telles que les pots de miel, des environnements que les logiciels malveillants détectent comme légitime, mais qui sont en fait hautement surveillés pour recueillir des informations sur les menaces.

La partie analyse heuristique progresse aussi. Illustration avec la détection des ressemblances visuelles entre des éléments de deux applications différentes : cela permet souvent de déterminer laquelle cherche à imiter l’autre.

Crédit photo : Kite_rin – Shutterstock.com