Publicité

Android est désormais et depuis un moment, le système mobile le plus utilisé. Il est donc naturel de se poser des questions sur la sécurité de ses données personnelles (photo, e-mail etc ...).

- Suis-je bien protégé avec le système de base ?

S'agissant d'une base Linux, on serait tenté de dire oui. Linux est plutôt réputé pour être un système robuste contre les attaques. Cela dit maintenant, il se popularise grâce au mobile notamment, les hackers se sont mis au travail. Tous les jours de nouvelles failles sont découverts (mais pas forcément diffusé), mais la plupart sont créées par les utilisateurs eux-mêmes. Et c'est bien là le coeur du problème, l'utilisateur lambda n'est pas ou peu sensibilisé.

Combien d'utilisateurs regardent les autorisations demandées par une application. Mon exemple favori est celui de la lampe de poche. Théoriquement, les autorisations qui devraient être demandées sont : autorisation sur l'appareil photo (pour allumer la led qui sert de flash), verrouillage écran de veille et puis c'est tout.

Regardez les autorisations demandées par cette lampe (première image).

Les autorisations des applications sous android sont elles bien gérées

 

Les autorisations des applications sous Android sont-elles bien gérées ?

  • Elle demande un accès internet intégral !! Sûrement pour la pub, c'est un peu abusif dans la mesure où l'on ne va pas regarder son écran. Mais pourquoi pouvoir créer des connecteurs réseaux (porte )

  • Appels téléphoniques !! Pour bloquer les appels entrants ? On ne sait pas vraiment en tout cas cette application peut lire les numéros des appelants (et donc l'envoyer où elle veut via internet )

 

Puisqu'il est avéré que certains développeurs ne veulent pas se discipliner d'eux même, il va falloir que les utilisateurs soient vigilants.

Est-ce qu'une application peut lire le contenu de mes répertoires et envoyer tout cela sur internet.

Dans la théorie rien de l'empêche. Je peux faire une application browser avec des accès web pour soit disant pour la pub et puis en douce envoyer des données vers un serveur pour traiter le nom de répertoire. Exemple l'application Instagram va créer un répertoire pour stocker les images que j'ai créées. C'est une superbe information pour cibler les publicités de savoir que vous avez installé Instagram, en plus je peux récupérer les données et les envoyer sur le web à votre issue et quelque part avec votre aimable autorisation puisque vous avez accepté les autorisations de l'application. Maintenant il ne faut pas être parano, toutes les applications ne sont pas malveillantes.

 

L'interception des communications via des scan wifi, 3G.

Ce problème n'est pas spécifique aux Android, mais bien à tous les téléphones. Récemment, des photos de star peu vêtue se sont retrouvées sur le web. Ces dernières se demandent comment elles ont bien pu arriver sur internet. 2 possibilités, capter les liaisons wifi ou 3G, mais plus simplement une application prévue à cet effet.

Existe-t-il d'autre fuite ?

Oui vous faire voler votre smartphone. Installation d'une application malveillante à votre insu (par exemple en le laissant ouvert sur un bureau).

Comment se protéger ?

Le schéma de verrouillage bien que pénible au bout d'un moment et le minimum (news rigolote a propos du verrouillage).
Bien regarder les autorisations que demande une application avant de l'installer. Ensuite pour les applications web préférer celles qui communiquent en SSH, SSL ou tout autre moyen de cryptage.
Avec ICS utiliser la solution de cryptage (attention peut être interdit en France par des lois un peu trop sécuritaires ...)
- ne pas garder des informations confidentielles sur son téléphone où bien les crypter un minimum
- Est-il possible d'installer un firewall ? Oui si vous avez rooté votre téléphone (seuls les geeks le font en général)

Conclusion

Au final, les smartphones sont bien devenus le talon d'Achille de la vie privé. Il faut s'en protéger. La vie privée est donc relativement bien protégée à condition qu'on se prémunisse en étant bien informé. Un smartphone Android est-il indiqué pour un professionnel. Personnellement, je pense que non. Il manque des possibilités comme configurer facilement le proxy d'entreprise, modifier les droits d'une application, installer un firewall etc ...

Est ce que les autres systèmes valent mieux ?

- Petite expérience afin de voir si votre Android n'a de grosses fuites.

Créer un Gmail (ou autre ) que l'on va synchroniser sur son Android phone. Ce mail ne sera pas utilisé ailleurs. L'objet de l'expérimentation sera de voir en combien de temps on recevra des spams.

pour aller plus loin

https://www.sstic.org/2011/presentation/Securite_Android/


Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :


Commentaires

  • Aucun commentaire trouvé

Poster un commentaire en tant qu'invité

0

La pub ça rapporte pas grand chose, en plus ça vous laisse d'horribles cookies non comestibles, autrement appelé trackers. Ce cookie est utilisé par DoubleClick (Google Adsense). Vous avez tout le droit de ne pas en vouloir et donc quitter cet excellent blog. Dans le cas contraire, vous l'acceptez et vous poursuivez le surf en toute connaissance de cause (par ailleurs j'utilise piwik).