Alerte Android : 750 millions d’utilisateurs concernés.
getty
Google s’efforce de combler l’écart avec l’iPhone en déployant une série de nouvelles fonctionnalités de sécurité Android sur les appareils, alors que certaines des failles de sécurité les plus évidentes sont enfin corrigées. Cependant, l’écosystème reste vulnérable, avec plus de 750 millions d’appareils exposés aux attaques. Ce dernier update pourrait inciter certains utilisateurs à envisager de mettre à jour leur matériel.
Bien que son constat selon lequel « les appareils iOS sont davantage exposés à des menaces de phishing et de contenu web qu’Android » ait fait le tour des médias, le dernier rapport de menaces mobiles de Lookout présente en réalité un tableau beaucoup plus inquiétant pour Android que pour iOS.
Lookout a identifié dix des « vulnérabilités de navigateur mobile les plus courantes », toutes visant les « navigateurs basés sur Chromium ». Cela inclut Chrome, Edge, Opera, mais désigne principalement Chrome, qui, avec Safari, détient 90% de part de marché des navigateurs mobiles.
Cinq des « vulnérabilités d’application mobile les plus fréquentes » mises en évidence par l’analyse des appareils de Lookout ciblaient également le système d’exploitation Android, malgré les « records de vulnérabilités zero-day sur iOS » en 2004. Il est particulièrement inquiétant de noter que cinq des sept « familles de menaces les plus critiques » identifiées durant le troisième trimestre étaient des logiciels espions, tout comme la moitié des familles de logiciels malveillants les plus rencontrées. Au cours de cette période, Lookout a détecté plus de 100 000 applications malveillantes sur des appareils utilisés en entreprise, soit une augmentation alarmante de presque 33 % par rapport au trimestre précédent.
Cette année, plusieurs failles zero-day sur Android ont mis en lumière les défis liés à la mise à jour de l’écosystème Google—entre OEM, modèle, région et opérateur—comparé à l’approche universelle d’Apple. Bien que des appareils exécutant des versions obsolètes du système d’exploitation soient un risque plus important sur iPhone que sur Android, les rapports révèlent que c’est moins problématique dans le cadre des entreprises. Un système d’exploitation Android obsolète, couplé aux risques liés au « sideloading » d’applications, constitue une menace énorme pour l’utilisateur et son employeur.
Plus tôt cette année, le « Global Mobile Threat Report » de Zimperium a averti que 14% des appareils Android utilisés en entreprise « ne peuvent pas être mis à jour, les rendant donc vulnérables à l’exploitation ». Les chercheurs ont signalé un risque de 1 % pour les iPhones. Zimperium a également rapporté que 18% des appareils Android utilisent désormais des versions de l’OS qui ne peuvent plus être mises à jour, chiffre comparable à celui des iPhones.
Comme l’a souligné Nico Chiaraviglio de Zimperium, « Android fait face à des risques de logiciels malveillants plus élevés, principalement en raison de son écosystème ouvert, qui permet des magasins d’applications tiers et le sideloading d’applications », même si « le processus de révision de l’App Store d’Apple crée une illusion de sécurité parfaite, les logiciels malveillants et les applications qui enfreignent les conditions d’utilisation d’Apple réussissent à passer ou exploitent des zero-days. »
Alors que l’Android 15 apporte d’énormes améliorations, Chiaraviglio avertit que « l’architecture ouverte d’Android continuera de présenter plus de vecteurs d’attaque que l’écosystème contrôlé d’iOS. Le caractère fragmenté des mises à jour Android à travers les fournisseurs et les opérateurs pourrait réduire l’efficacité de ces améliorations de sécurité en augmentant le nombre de failles à exploiter. »
Selon StatCounter, bien que 56 % des téléphones Android fonctionnent sous Android 13 ou une version plus récente, un utilisateur sur quatre utilise Android 11 ou 12, avec 10 % sur Android 9 et 10. Google a interrompu le support d’Android 9 en 2021, d’Android 10 en 2023, et d’Android 11 en février de cette année. Cela signifie qu’environ un utilisateur sur quatre utilise une version de l’OS en fin de vie, soit un nombre impressionnant de 750 millions sur 3 milliards de téléphones Android.
La problématique est clairement complexe et n’est pas unique à Android—il suffit de regarder les difficultés qu’éprouve Microsoft pour transférer les utilisateurs de Windows 10 alors que ce dernier approche de sa propre fin de vie. Cependant, les appareils mobiles à l’ère du BYOD (Bring Your Own Device) présentent des risques uniques. Ces appareils sont intégrés dans l’entreprise chaque jour tout en étant largement sous le contrôle de l’utilisateur, échappant ainsi à la pleine portée des services IT.
Comme l’a averti Jake Moore d’ESET, les systèmes d’exploitation obsolètes peuvent rester vulnérables aux attaques, puisque les criminels cherchent toute faille non corrigée pour cibler les données personnelles. Bien qu’ils puissent sembler sûrs durant les premières semaines ou mois après la fin de leur support, à terme, même si les appareils apparaissent en bon état, ils peuvent facilement être visés par de nouvelles vulnérabilités. »
En somme, ces 750 millions d’utilisateurs doivent agir rapidement et mettre à jour leurs appareils. Si la menace croissante des logiciels espions ne suffit pas, Google s’engage à résoudre ce problème. Comme je l’ai rapporté plus tôt ce mois-ci, son API Play Integrity sera renforcée à partir de 2025 pour « tous les appareils exécutant Android 13 et versions supérieures, rendant l’expérience utilisateur plus rapide, fiable et privée… compliquant ainsi et augmentant le coût pour les attaquants de contourner les protections. » Il s’agit d’une initiative de Google pour lutter contre les logiciels espions et autres malwares à la source.
La politique de Google en matière de logiciels espions est plus scrutée que jamais, compte tenu des dernières attaques. Ce nouveau mouvement isolera les versions plus anciennes d’Android, ce qui rendra probablement inopérants ou restreindra l’utilisation d’applications sensibles comme celles liées aux banques ou aux entreprises sur ces anciennes versions. Ces changements entreront en vigueur en mai et toucheront bien plus que les 750 millions de dispositifs en fin de vie.
Android évolue—les temps où des versions vieillissantes du système d’exploitation pouvaient fonctionner sans fin touche à sa fin.
Points à retenir
- Plus de 750 millions d’appareils Android sont exposés aux menaces, nécessitant une mise à niveau urgente.
- Les vulnérabilités ciblent particulièrement les navigateurs basés sur Chromium, notamment Chrome.
- Une proportion inquiétante d’appareils Android dans le milieu professionnel ne peut être mise à jour.
- La politique de Google va isoler les anciennes versions d’Android, affectant l’utilisation de certaines applications.
- Les risques liés aux systèmes d’exploitation obsolètes ne sont pas exclusifs à Android, comme l’illustre la problématique avec Windows.
Le sujet de la sécurité numérique et des mises à jour des systèmes d’exploitation mérite une attention constante, non seulement pour protéger les utilisateurs individuels, mais aussi pour garantir la sécurité des données dans le monde professionnel. Alors que chaque acteur du marché s’efforce d’améliorer ses protocoles de sécurité, il est essentiel de considérer comment les utilisateurs peuvent être mieux informés et protégés face à ces nourritures croissantes des menaces numériques.
C’est fou de penser qu’il y a encore autant d’appareils Android vulnérables ! Vous mettez à jour vos appareils régulièrement ? Qu’est-ce qui vous retient ?
La sécurité numérique ressemble à une symphonie : chaque note compte. Ne laissez pas vos appareils en fin de vie jouer une mélodie désaccordée face aux menaces croissantes.