Avec Android O, Google veut éteindre les ransomwares

Google intensifie sa lutte contre les ransomwares sur Android. Après avoir restreint la possibilité pour un malware de changer par logiciel les codes PIN et autres mots de passe sur Android 7 « Nougat », les ingénieurs de Mountain View devraient modifier la façon dont les alertes systèmes vont s’afficher sur l’écran de l’OS mobile. Le code d’Android 8.0, attendu pour l’automne prochain, devrait s’alléger de trois types de fenêtres (TYPE_SYSTEM_ALERT, TYPE_SYSTEM_ERROR et TYPE_SYSTEM_OVERLAY), avance Dinesh Venkatesan, ingénieur chez Symantec spécialisé dans l’analyse des menaces, qui a scruté la première version preview d’Android « O » destinée aux développeurs.

Ces commandes permettent d’afficher des fenêtres par-dessus n’importe quelle application. Un mode d’information particulièrement prisé des auteurs de rançongiciels afin de bloquer l’accès de l’utilisateur au reste du système et lui afficher les instructions à suivre pour procéder au paiement censé libérer ses fichiers rançonnés par chiffrement.

Décourager les cyber-attaquants

Privés de cette interaction, les cyber-criminels pourraient se décourager d’exploiter ce mode opératoire pour mener leurs attaques, espère ainsi Google. Qui plus est, la prochaine version d’Android permettra à l’utilisateur de fermer une fenêtre désobligeante et son application (en ouvrant le volet de notifications/accès aux paramètres sur lequel un bouton « Turn Off » (Eteindre) sera proposé comme le montre l’image ci-contre).

Néanmoins, ce modèle de défense par suppression de certaines fonctionnalités restera inefficace contre les ransomwares qui exploitent d’autres vecteurs d’attaques. Notamment ceux qui affichent constamment des messages par-dessus l’écran de connexion du terminal en exploitant les droits utilisateur.

Les anciennes versions principalement visées

Mais surtout, seul les terminaux équipés d’Android O profiteront de cette protection. Or, les auteurs de ransomwares concentrent généralement leurs efforts sur les versions plus anciennes de l’OS mobile, par défaut moins sécurisées fautes de mises à jour. Il y a un an, Cyber.Police s’attaquaient aux smartphones sous Ice Cream Sandwitch (Android 4.0), Jelly Bean (4.x) et KitKat (4.4) qui animent quasiment 30% du parc des smartphones Android aujourd’hui. L’agent malveillant bloquait l’écran d’accueil de l’utilisateur et exigeait l’achat de cartes cadeaux iTunes de la clé de déchiffrement des fichiers vérolés. Qui plus est, les développeurs de malwares tenteront probablement de contourner les nouvelles mesures introduites dans Android 8.0 pour se jouer des règles de protection de l’OS mobile.

La première des protections reste donc la vigilance de l’utilisateur. L’ingénieur de Symantec rappelle d’éviter d’installer des applications de magasins alternatifs à celui de Mountain View, d’en faire les mises à jour et de rester attentif aux permissions demandées par celles-ci (même si Google s’attache à limiter la capacité des cyber-attaquants à infiltrer le Play Store). Au pire, l’utilisateur victime d’un ransomware peut toujours réinitialiser son terminal… à condition d’avoir préalablement sauvegardé ses données. A ce jour, aucun ransomware connu n’a réussi à bloquer ce retour au mode usine du smartphone.

Lire également:
Un ransomware change le code PIN des terminaux Android
Inédit : un malware commandé par… Twitter
Ransomwares : 38 % des victimes paient leur rançon

Photo credit: Uncalno via Visualhunt.com / CC BY