88% des smartphones Android ne sont pas sécurisés

Christophe Lagane,

Selon une étude universitaire, près de 9 smartphones Android sur 10 ne disposent pas des correctifs de failles critiques. La fragmentation de l’OS mobile de Google joue contre sa sécurisation.

Selon une étude de l’université de Cambridge, près de 9 smartphones Android sur 10 ne sont pas sécurisés. Plus exactement, 87,7% des appareils sont, en moyenne, exposés à au moins 11 vulnérabilités critiques connues.

Pour réaliser leur étude, les chercheurs se sont appuyés sur les données récoltées à partir de l’application Device Analyser, librement disponible dans le Play Store depuis mai 2011. Pas moins de 20 400 utilisateurs l’ont installée permettant de récolter quotidiennement les versions Android et numéro des mises à jour (build) de l’OS mobile. A partir de là, les universitaires ont rapproché les versions utilisées de l’OS avec 11 failles de sécurité publiquement référencées depuis 2010, donc corrigées, y compris Stagefright parmi les dernières révélées.

Un résultat sans appel

Les vulnérabilités ont été choisies au regard de leur « criticité », autrement dit, selon les possibilités qu’elles offrent en matière de prise en main à distance de l’appareil par l’assaillant, et devaient être logées dans le système.

Les chercheurs ont ensuite classé les appareils dans trois catégories, au regard des mises à jour de sécurité effectuées ou non : sécurisé, non sécurisé et potentiellement sécurisé (si l’appareil a bénéficié d’un patch rétroactif). Avec près de 88 smartphones Android sur 100 vulnérables à ces failles, le résultat est sans appel. Il met en exergue la problématique des mises à jour et, de fait, de la fragmentation du marché Android. Une caractéristique qui appraît clairement comme l’une des principales faiblesses de la plate-forme en matière de sécurité.

Représentation des taux d'appareils estimés 'sécurisés", "non sécurisés" et "potentiellement sécurisés" selon l'étude de Cambridge.
Représentation des taux d’appareils estimés ‘sécurisés », « non sécurisés » et « potentiellement sécurisés » selon l’étude de Cambridge.

La faute aux constructeurs

Pour les universitaires, la faute en revient aux constructeurs et à leur politique, trop souvent laxiste, de mises à jour de sécurité critiques des appareils qu’ils commercialisent. Les auteurs de l’étude ont alors décidé d’évaluer le taux de mise à jour de l’OS par les constructeurs selon l’indice FUM créé pour l’occasion. Les résultats s’affichent sur le site AndroidVulnerabilities.org. Sans surprise, les terminaux Nexus de Google, qui bénéficient systématiquement des mises à jour, arrivent en haut du classement. Mais seulement avec un score de 5,2 sur 10. Un score relativement bas qui peut s’expliquer par l’absence de mise à jour pour les terminaux les plus anciens, puisque les patch se limitent à deux ans de support. Lancé en 2011, le Galaxy Nexus ne bénéficie probablement plus des mises à jour. Autre explication possible, le délai de distribution par les airs (OTA) des mises à jours (deux semaines au moins à partir de la mise à disposition de l’image système), qui entrainerait un décalage entre l’existence des vulnérabilités et l’application du correctif.

Les Nexus sont suivis par les smartphones LG (avec un score de 4.0), puis par ceux de Motorola (3,1). Premier vendeur de smartphones Android, Samsung n’arrive qu’en 4ème position (2,7), devant Sony et HTC (2,5 chacun) et Asus (2,4). Si on note l’absence de Huawei, pourtant acteur de poids sur le marché Android au point d’assembler le récent Nexus 6P, des acteurs quasi inconnus en Europe entrent dans le classement : Alps (0,7), Symphony (0,3) et Walton (0,3 aussi).

En Chine, les store parallèles

Pour Google, l’étude porte le fer là où ça fait mal, sur les modes de sécurisation de ses terminaux, directement (pour les Nexus) ou indirectement (via ses partenaires OEM). Si Mountain View a initié un programme de mises à jour mensuelles que Samsung et LG se sont engagés à suivre (mais pour les plus récents de leurs terminaux uniquement), nombreux sont les appareils qui ne bénéficient pas d’un suivi de sécurité efficace. Sans compter que, seuls les appareils intégrant les services Google (dont le Play Store) ont été pris en compte dans l’étude. Or, nombre de smartphones en Chine sont fournis sans les services de Mountain View et s’appuient sur des stores alternatifs où foisonnent les malwares.

Lire également

Un ransomware change le code PIN des terminaux Android
Des smartphones Android vendus en ligne avec des malwares préinstallés
Le nombre de smartphones Android infecté s’affiche à la baisse

crédit photo : Twin Design / Shutterstock.com