Selon le rapport établi par l'éditeur de solutions de sécurité Symantec, les plateformes pour smartphone iOS d'Apple et Android de Google sont plus sûres que les systèmes d'exploitation traditionnels pour PC, mais elles restent encore exposées à de nombreux types d'attaques. La bonne nouvelle, c'est qu'Apple et Google ont conçu leurs systèmes d'exploitation respectifs en gardant la question de la sécurité à l'esprit. Mais, du fait de l'évolution constante des menaces possibles, il est difficile de maintenir un niveau de sécurité imparable.

Dans le rapport intitulé « Regard sur la sécurité mobile », Symantec a testé les deux systèmes d'exploitation pour voir comment ils résistaient à des attaques sur le web et sur le réseau, à des attaques profitant des techniques de l'ingénierie sociale, celles affectant l'intégrité des données, et comment les OS se comportaient face aux logiciels malveillants. Qu'ils soient sous Android ou sous iOS, les utilisateurs de smartphones et de tablettes tactiles ont pris l'habitude de synchroniser régulièrement leurs appareils avec des services de cloud computing et leurs ordinateurs personnels. Ces opérations peuvent potentiellement exposer certaines données sensibles - personnelles ou professionnelles - à des systèmes qui ne sont plus sous le contrôle de l'entreprise, selon Symantec.

Plus de malwares sous Android

Quand il s'agit de se protéger contre les logiciels malveillants traditionnels, le système de certification des applications et des développeurs mis en place par Apple protège les utilisateurs, selon Symantec. Comparativement, le mode de certification, moins rigoureux, de Google, a sans doute favorisé l'augmentation de malwares sous Android, a indiqué l'éditeur. En juin, Google a dû retirer un nombre encore plus important d'applications infectées par des logiciels malveillants et proposées sur l'Android Market, son site de vente d'applications en ligne. « L'approche, plus ouverte de Google, a été l'une des raisons de son succès, » a déclaré Ben Wood, directeur de recherche chez CCS Insight. « Cela a permis à Google d'augmenter rapidement le nombre d'applications disponibles sur son site.

Jusque-là, les programmes incriminés n'ont pas eu d'incidence majeure pour les utilisateurs, mais ce sentiment pourrait changer rapidement s'ils devaient subir des attaques avec de graves conséquences, » a estimé le chercheur. Comme l'ont déjà remarqué les experts en sécurité, le fait qu'Android se repose sur l'utilisateur pour acquérir un ensemble de validations est un maillon faible du système de Google. La majorité des utilisateurs ne sont tout simplement pas techniquement compétents pour prendre de telles décisions sur la sécurité. Comparativement, la plate-forme iOS refuse tout simplement l'accès, quelles que soient les circonstances, à de nombreuses couches systèmes plus sensibles, selon Symantec. Sur Android, une application malveillante demande simplement à bénéficier de l'ensemble des autorisations dont elle a besoin pour fonctionner. Et dans la plupart des cas, les utilisateurs leur accordent ces accès en toute confiance. Symantec modère un peu en précisant que Google demande aux développeurs de payer un droit d'accès et de s'enregistrer auprès de l'entreprise pour pouvoir distribuer leurs applications via le Marketplace, le site de vente officiel des applications Android.

Un cryptage faiblard sur iOS et absent sur Android

Parmi les faiblesses éventuelles d'iOS, Symantec pointe son mode de cryptage. Selon Symantec, la majorité des données sont cryptées de telle manière qu'elles peuvent être décryptées sans que l'utilisateur n'ait à entrer le code d'accès du terminal. Cela signifie qu'un attaquant ayant un accès physique à un périphérique iOS peut potentiellement lire la plupart des données présentes sur le mobile sans connaître le mot de passe, explique encore Symantec. Au mois de février dernier, des chercheurs allemands en ont fait la démonstration : en six minutes, ils ont réussi à s'introduire dans un iPhone sous iOS 4.2.1. En outre, les attaques contre les applications spécifiques, comme le navigateur web d'iOS, même si elle est autonome et évite les répercussions sur d'autres applications, peuvent encore provoquer des dommages importants à un périphérique. Depuis peu, Android 3.0 (Honeycomb uniquement disponible pour tablettes), propose un mode de cryptage intégré. Mais les versions antérieures d'Android, celles que l'on trouve sur quasiment tous les téléphones mobiles en circulation, ne disposent pas de ces capacités de chiffrement.

[[page]]

Pour l'instant, les chercheurs en sécurité ont identifié près de 200 vulnérabilités dans les différentes versions d'iOS. Mais, selon eux, la grande majorité de ces failles ne sont pas très graves. À ce jour, sur les 18 vulnérabilités repérées dans Android, toutes sauf quatre ont été corrigées par Google, dont l'une dans la version 2.3 seulement, mais pas dans les versions antérieures. Selon Symantec, le récent malware Android.Rootcager, aussi connu sous le nom de Android.DroidDream, et Android.Bgserv, visent tous deux cette vulnérabilité et tentent de l'utiliser comme levier pour gagner le contrôle d'administrateur sur les machines. Symantec met également en garde les utilisateurs de smartphones jailbreakés. « Ce sont des cibles de choix pour les attaquants, car ces smartphones sont aussi vulnérables que des PC traditionnels, » avertit l'éditeur.

La sécurité des smartphones doit être renforcé

En conclusion, Symantec estime qu'iOS offre un meilleur contrôle d'accès, un meilleur filtrage des applications, et un meilleur système de cryptage. Android de Google dispose d'une meilleure technique pour isoler les applications, et son système de catégorie avec permission pour contrôler l'accès est un bon rempart, indique le rapport de Symantec. Apple propose également une meilleure protection contre les attaques de malware, les attaques dites de service, la perte de données et les attaques visant à violer l'intégrité des données. Les deux systèmes d'exploitation proposent une protection complète contre les attaques Web, mais aucune ne dispose des technologies de protection pour contrer des attaques d'ingénierie sociale comme le phishing ou le spam. « La sécurité des smartphones est devenue un défi auxquels les vendeurs doivent répondre, » a déclaré Ben Wood. « Des attaques à grande échelle pourraient avoir un effet très négatif sur la popularité du smartphone, » a-t-il estimé.