1 - Ne pas rooter un terminal Android
« Pour avoir un impact destructif suffisant sur le monde mobile, les malwares doivent pouvoir agir sur des terminaux qui ont été modifiés au niveau administrateur », fait remarquer Dionisio Zumerle, analyste principal chez Gartner. « Les terminaux Android attaqués en priorité sont ceux qui ont été « jailbreakés » ou « rootés », c’est à dire en déverrouillant toute restriction d’accès pour offrir des privilèges suprêmes à un utilisateur. « Si ces modifications permettent aux utilisateurs d'accéder à certaines ressources de leur terminal, inaccessibles en standard, elles mettent également leurs données en danger », déclare l’analyste.
2 - Ne pas surestimer la sécurité Android et ne pas se concentrer uniquement sur les malwares
Pour Domingo Guerra, président et cofondateur d’Appthority, en premier lieu, le fait qu’il y a encore peu de logiciels malveillants sur les plateformes mobiles donne aux institutions gouvernementales et aux entreprises un faux sentiment de sécurité. Parmi les autres risques qu’il a identifiés sous Android, il cite « l'exfiltration de données d'entreprise, une pratique insuffisante du développement d’applications, une mauvaise gestion des noms d'utilisateur et des mots de passe, une mauvaise mise en œuvre du cryptage, et la collecte et le partage de données à des fins marketing. « Ces risques sont souvent négligés par les stratégies de sécurité qui comptent essentiellement sur la surveillance des malwares », affirme le dirigeant.
3 - Ne pas installer d’apps Android provenant de boutiques non officielles
Terry May, développeur Android chez Detroit Labs conseille pour sa part de« n’installer que des applications provenant de la boutique Google Play proposées par des développeurs connus et dignes de confiance ». Il recommande également comme bonne pratique « de profiter des options multi-utilisateurs d’Android et de prévoir pour chaque utilisateur un compte réservé exclusivement aux usages professionnels ».
4 - Être attentif aux demandes d'autorisation des apps Android
Pour Mark Huss, consultant senior chez SystemExperts, « il est très important de lire attentivement les demandes d'accès présentées par une app Android ». Par exemple, « une app « lampe de poche » n'a pas besoin de disposer d’accéder à des services payés par l’utilisateur (comme l’envoi de SMS), à des utilitaires système, à la liste des appels téléphoniques ou à toute autre information personnelle, ou encore être autorisées à utiliser une communication réseau ou à exploiter un service de localisation », estime le consultant.
5 - Toujours maintenir à jour l’OS Android et le firmware
« Il faut toujours vérifier si l’éditeur propose des mises à jour du firmware et s’il a livré des correctifs et télécharger les dernières versions disponibles », recommande de son côté Gleb Sviripa, développeur Android chez KeepSolid. « Plus la version installée sur le terminal est récente, plus les chances que des pirates attaquent ce terminal diminuent ».
6 - Installer un app de sécurité et un VPN
« On trouve facilement des tas d'applications de sécurité pour Android. Aussi bien des apps qui scannent le terminal pour débusquer d’éventuels malwares et celles qui bloquent les applications provenant de sources non reconnues », a déclaré Geoff Sanders, cofondateur et CEO de Launchkey. Selon lui, pour se protéger des malwares sur Android, il faut activer la fonction de cryptage de disque, et il faut aussi bannir les applications qui demandent « un accès excessif à des données potentiellement sensibles ». Et pour surfer sur Internet depuis un terminal, il préconise de protéger ses sessions de navigation en utilisant des solutions de réseau privé virtuel (VPN) dans le genre de TunnelBear ou Hide My Ass.
7 - Les entreprises doivent établir et appliquer des politiques d'accès claires
Les entreprises doivent définir clairement à quelles données sensibles les utilisateurs ont le droit d’accéder depuis leurs terminaux mobiles et elles doivent s’assurer que ces matériels ont « la bonne infrastructure pour se protéger contre les menaces mobiles », a déclaré Swarup Selvaraman, chef de produit senior chez Dell SonicWALL.
8 - Les quatre principes de base de la sécurité sous Android
Troy Vennon, directeur du Mobile Threat Center de Pulse Secure, pense que, dans le cadre de l’entreprise, la sécurité mobile se résume à quatre recommandations principales : « interdire les mises en accès « root » et le « jailbreak » des terminaux ; veiller à ce que les appareils soient protégés par des mots de passe ; maintenir les terminaux à jour ; obliger les utilisateurs à se connecter en VPN ».