Comme le niveau de sécurité d’Android ne cesse d’augmenter, les pirates cherchent de plus en plus à infecter directement les firmwares. Une nouvelle tendance qui contraint Google à discipliner et éduquer ses partenaires.
Dans la cinquième édition du rapport annuel sur la sécurité d’Android, que Google vient de publier, il y a à la fois une bonne et une mauvaise nouvelle. La bonne nouvelle, c’est que le géant informatique continue d’améliorer le niveau de sécurité du système d’exploitation et l’efficacité de ses dispositifs de protection. Avec la dernière version Android Pie, le taux d’infection n’est plus que de 0,18 % contre 0,65 % et 0,55 % pour respectivement Lollipop et Marshmallow. « Les versions récentes d’Android sont plus résilientes face aux attaques par augmentation de privilèges qui, avant, permettait aux applications potentiellement malveillantes (Potentially Harmful Applictions, PHA) de s’installer de manière durable sur les terminaux et d’être à l’abri des tentatives de suppression », explique Google dans son rapport.
Résultat : le scan et le nettoyage réalisé par Google Play Protect (GPP), la solution de sécurité intégrée aux smartphones Android, est nettement plus efficace sur les derniers modèles, pour le bonheur de leurs utilisateurs. GPP scanne tous les jours plus de 50 milliards d’applications sur plus de 2 milliards de terminaux dans le monde. Le dispositif améliore également le blocage d’installation de PHA, qu’ils soient téléchargés depuis Google Play ou non.
La mauvaise nouvelle, c’est que les pirates cherchent de plus en plus à contourner le blindage renforcé d’Android en installant leurs malwares directement dans le firmware des terminaux. Il est désormais plus simple et plus efficace de s’attaquer à la chaîne de développement et de distribution des smartphones Android que d’essayer de pirater directement le système d’exploitation. Cette nouvelle tendance se retrouve dans les statistiques. En Inde et en Russie, les infections proviennent majoritairement d’applications préinstallées sur le terminal. Au Brésil et en Indonésie, c’est le cas pour 4 malwares sur 10. L’Europe et les Etats-Unis sont beaucoup moins concernés, car les chaînes de développement et de distribution y sont beaucoup mieux protégées.
Scanner les firmwares
Pour résoudre ce problème, que des chercheurs en sécurité ont d’ailleurs récemment souligné dans une analyse de grande ampleur, Google a décidé de passer progressivement à l’action. Depuis 2017, les firmwares de tous les smartphones qui intègrent les services Google sont systématiquement passés au peigne fin. Les autres fournisseurs OEM peuvent, depuis 2018, scanner leurs téléphones au travers d’un outil fourni gracieusement par Google (Build Test Suite). L’année passée, ce logiciel a permis de détecter 242 firmwares vérolés. C’est énorme car chaque firmware peut potentiellement toucher plusieurs centaines de milliers d’utilisateurs. A chaque détection, l’éditeur collabore avec le fournisseur pour identifier l’origine de l’infection et, surtout, lui inculquer les bonnes pratiques en matière de sécurité.
Pour améliorer l’hygiène sécuritaire dans son écosystème, Google cherche également à réduire les délais de diffusion des mises à jour. Ce problème n’est pas nouveau. En raison de tous ces intermédiaires qui existent dans l’écosystème Android, certains terminaux ne reçoivent les mises à jour qu’au bout d’un temps très long, voire jamais. « Au quatrième trimestre 2018, le nombre de terminaux qui ont reçu une mise à jour de sécurité a augmenté de 84 % par rapport à l’année précédente », se félicite Google. Pourvu que ça dure.