L’éradication des malwares sur les smartphones Android reste toujours un énorme challenge, comme le montre le tout récent rapport « Android Security 2016 ». Ce document, qui présente un panorama de la sécurité sur Android en 2016, se concentre en particulier sur les installations « d’applications potentiellement dangereuses » (« Potential harmfull applications », PHA). Cette catégorie englobe les malwares classiques comme les chevaux de Troie, les logiciels d’espionnage, les portes dérobées, etc., mais aussi les logiciels installés volontairement par l’utilisateur comme les « rooters », qui réduisent considérablement le niveau de protection du système.
Dans son rapport, Google se félicite de voir baisser le nombre d’installations de PHA. Au niveau de la plateforme Play Store, celui-ci passe de 0,28 à 0,06 % sur le nombre total d’installations, qui par ailleurs a fortement augmenté. Au dehors du Play Store, cette baisse est encore plus massive, le taux passant de 9,24 à 4,92 %.
Le problème, c’est que Google ne donne aucun chiffre absolu dans ses statistiques. Comment dès lors se faire une idée concrète de cette menace ? Si l’on se réfère au site Statista, la plateforme Play Store a enregistré en moyenne plus de 5 milliards de téléchargements d’applications par an durant ces trois dernières années. Ce qui voudrait dire que le nombre d’installations de PHA est passé de plus de 10 millions en 2015 à quelques millions en 2016. Certes, cette évolution est très encourageante et prouve que Google a bien fait de muscler ses outils d’analyse et de détection, tels que Verify Apps. Mais le problème est encore loin d’être négligeable. La preuve : l’éditeur Eset a récemment découvert 87 faux mods Minecraft qui ont donné lieu à 990.000 téléchargements sur Google Play. Ils provoquent chez les utilisateurs le téléchargement de publicités et la redirection vers des sites web frauduleux.
Une procédure de mise à jour très disparate
Un autre point encore plus inquiétant est la procédure de mise à jour, historiquement toujours assez complexe dans le monde Android car prise en charge par les multiples fabricants et opérateurs télécoms. Ainsi, Google se congratule en constatant que les systèmes de « 736 millions de terminaux de plus de 200 fabricants ont reçu une mise à jour de sécurité en 2016 ». Mais cette affirmation cache une situation très disparate.
Certes, les utilisateurs de smartphones Nexus et Pixel reçoivent des patchs tous les mois, mais pour les utilisateurs d’autres smartphones haut de gamme, la cadence de mise à jour n’est pas forcément aussi bonne. Samsung se targue de diffuser des mises à jour de sécurité tous les mois pour ses modèles haut de gamme. Chez d’autres constructeurs, les mises à jour arrivent de façon trimestrielle, semestrielle… ou pas du tout. En effet, le géant informatique admet que « près de la moitié des terminaux [Android] en utilisation n’ont pas reçu de mise à jour de sécurité au niveau système en 2016 ». De ce point de vue, le niveau de protection dans le monde Android reste donc encore globalement très mauvais, même si Google estime que les fabricants et les opérateurs ont fait des progrès « significatifs » dans ce domaine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
