Sécurité et vie privée vs Android : parlons-en !

Beaucoup de choses se sont passées ces derniers mois : des vulnérabilités à droite à gauche (Stagefright), des mises à jour constructeurs tardives, une presse survoltée, des utilisateurs furieux, mais aussi des utilisateurs qui ne se sentent pas concernés par tout ça ou qui n’ont pas pris connaissance de tous ces faits.

android_6
Cet article a donc pour objectif de résumer les dernières informations connues et de faire réagir les personnes que ça n’intéresse pas. Car oui, la sécurité et la vie privée sont de plus en plus importantes. Au-delà des vulnérabilités que l’on découvre tous les mois, de plus en plus d’informations transitent par Internet et bien entendu, plus on en donne, plus on est (censé être) concerné.

Rappel de la situation actuelle

Le système d’exploitation Android est géré à la source par Google. Le code est distribué gratuitement aux constructeurs comme Samsung, HTC, LG, etc. Ces derniers modifient Android à leur sauce (code source désormais non disponible) en ajoutant des applications propriétaires, une interface graphique modifiée, etc. Puis, quelques mois plus tard en général, ces constructeurs déploient leur version d’Android au public.
Par conséquent, Google n’a absolument aucun contrôle sur la façon dont les constructeurs mettent à jour leurs appareils. Certains d’entre eux vendent tellement de modèles différents, il est quasiment impossible de tout maintenir à jour, une sorte d’obsolescence programmée à mon goût.
Google gère les mises à jour sur les appareils Nexus et voici ce qu’il en est : Google s’est récemment engagé à maintenir le système d’exploitation à jour pendant 2 ans et à déployer les correctifs de sécurité pendant 3 ans. Autrement dit, quand vous achetez un Nexus à sa sortie, vous êtes sûr d’avoir la dernière version Android et d’être protégé par les vulnérabilités majeures pendant 2-3 ans. Google pourrait faire mieux, bien sûr, mais c’est le meilleur exemple connu à ce jour.

stagefright

Les mises à jour de sécurité mensuelles de Google

Indépendamment du fait que vous aimiez le design, l’autonomie ou encore la marque de votre smartphone ou de votre tablette, vous devriez également songer aux mises à jour de sécurité que ce dernier peut recevoir.
Pour rappel, un programme malveillant peut prendre le contrôle total de votre appareil !
Actuellement, Google a la main sur les appareils Nexus et ce sont eux et seulement eux qui reçoivent systématiquement les dernières corrections. Pour les autres appareils Android, ils sont gérés par leurs constructeurs respectifs ou par les opérateurs mobiles. La pire des situations est d’acheter un téléphone non Nexus auprès d’un opérateur mobile, commercialisé depuis plusieurs mois et fabriqué par une marque reconnue pour son manque de suivi de mises à jour.
Prenons l’exemple de Samsung qui avait affirmé suivre le pas. À peine quelques mois plus tard, on s’aperçoit que le correctif d’octobre a été appliqué à seulement 4 appareils (Samsung en a commercialisé des dizaines !) et que ceux d’août et de septembre sont passés aux oubliettes…

Quelles solutions ?

Il faut déjà partir du principe que seul le constructeur de l’appareil que vous possédez peut faire quelque chose. Google corrige plutôt rapidement les vulnérabilités, transmet les correctifs aux constructeurs puis publie officiellement les modifications dans le code AOSP.
Autre principe à retenir, c’est que les constructeurs (et opérateurs mobiles) veulent vendre des produits – objectif numéro 1 – ils disposent de leur propre version d’Android modifiée, ils veulent aussi proposer plusieurs modèles différents et ont des ressources financières et humaines limitées.

La conclusion à mon sens rejoint celle d’autres personnes : il est impossible de changer les choses tant qu’Android est distribué de cette manière. D’ailleurs, on voit bien que rien, ou presque, n’a changé ces dernières années. Ça s’est même aggravé…
Si vous vous intéressez à la sécurité et à vos données personnelles, je ne peux que vous recommander d’acheter un Nexus.

Les permissions, vaste programme

Les permissions Android ont pour objectif premier d’informer l’utilisateur sur les autorisations que demandera une application avant son installation.
Note : avec Android Marshmallow, les autorisations sont demandées à la volée plutôt qu’au moment de l’installation.

Sur le papier, c’est beau et pratique. Sauf que concrètement, les autorisations peuvent être :

• tout simplement pas lues ;
• incomprises ;
• contestées par manque de transparence ou de connaissance ;
• inutiles car les développeurs ne sont pas obligés de les déclarer.

Toujours est-il qu’une application pour une boussole qui demande accès à votre liste de contacts peut être suspecte 🙂
Si vous parlez un minimum anglais, vous pouvez consulter ce site web très riche en informations : androidpermissions.com

Enfin, les permissions ne sont que la partie émergée de l’iceberg car les applications peuvent accéder à des données sans passer par des demandes de permissions.

Comment se protéger ?

Capture

Si vous êtes un utilisateur lambda, avec une utilisation standard, il y a quelques règles de bon sens à appliquer :
• Éviter au maximum les réseaux Wi-Fi publics.
• Lisez les avis sur le Google Play Store avant d’installer une application (même s’ils sont parfois loin d’être fiables)
Inutile d’utiliser un anti-virus car il ne détectera pas les prochaines attaques, il consommera de la batterie et des ressources inutilement.
Exemple : Lookout vient de découvrir des adwares avec trojan dans environ 20 000 applications. Ces applications peuvent utiliser des failles de sécurité pour obtenir les accès root (« administrateur »).
Vérifiez les mises à jour de vos applications : lors d’une mise à jour, une application peut demander de nouvelles permissions. Elles vous seront affichées si vous prenez le temps de regarder. Par conséquent, désactivez les mises à jour automatiques.
• Jetez un œil au site web du développeur ou envoyez-lui une question par e-mail. Ça peut être un bon moyen de se faire un rapide avis.
• Ne téléchargez pas les applications illégalement. Déjà, c’est moche pour les développeurs qui travaillent souvent indépendamment et qui ne demandent que quelques (centimes) euros pour parfois des dizaines et des dizaines d’heures de travail.
Ne pas installer de fichiers .apk si vous n’êtes pas sûr de la source et assurez-vous que l’option « Sources inconnues » soit décochée dans les paramètres de sécurité.
Gérez vos connexions Internet grâce à l’excellent Netguard.
• Privilégiez les applications open-source. Ce n’est pas infaillible, mais beaucoup mieux. Avec un code fermé, on n’a aucun moyen de savoir ce que l’application fait vraiment… Principe identique aux ordinateurs au passage. Ce n’est pas parce qu’on décoche une option que notre choix est respecté par exemple.
Ne mettez pas tous vos œufs dans le même panier. Il faut éviter les monopoles ! Google met à disposition tout un tas d’outils gratuits pour vos emails, documents, déplacements, pour vous transmettre des informations, pour consulter le web, etc. Variez les services que vous utilisez : utiliser Duckduckgo, Qwant, Tonton Roger… comme moteur de recherche, Google Maps pour vos déplacements, K9 mail pour vos emails, etc. Le danger réside dans le fait de donner toute notre vie à une poignée de sociétés.
J’en profite pour vous parler de Framasoft qui propose de dégoogliser Internet. Plus d’informations ici.
• Prenez un peu de temps pour regarder les paramètres de votre compte Google :
http://privacy.google.com/
https://myaccount.google.com/

Si vous avez des accès root et que vous bidouillez un peu, je vous recommande chaudement les applications Xprivacy (restriction d’accès) et AFwall+ (pare-feu), chiffrer vos communications, privilégier l’auto-hébergement, etc. Pas la peine de tout faire non plus mais une bonne moitié de ce qui est possible 🙂

Bref, il y aurait d’autres choses à ajouter mais cela devrait suffire pour comprendre que l’enjeu est suffisamment important pour que tout le monde s’y intéresse un minimum. Je peux comprendre que ces choses-là passent au-dessus de la tête des séniors mais les nouvelles générations doivent s’en occuper.
Ces grands principes s’appliquent également à d’autres environnements, tels que les ordinateurs alors ce que vous allez apprendre grâce à Android vous servira plus tard 🙂

Dernier point, ne vous limitez pas à l’expression « je n’ai rien à cacher ». Faites une rapide recherche sur Internet pour comprendre le non intérêt de cette expression, à l’instar de la théorie des six degrés de séparation.

Si vous avez des suggestions, des remarques ou autre chose à partager, postez votre commentaire ci-dessous et participer à ce sujet général sur le forum Génération mobiles.

Génération mobiles

A propos Primokorn 49 Articles
Après l'informatique en général, je me suis intéressé aux OS mobiles il y a plusieurs années et plus particulièrement à Android. Beaucoup de lectures et de pratiques me donnent envie de partager toutes ces informations, avec un penchant pour la personnalisation, le logiciel libre, la sécurité et la vie privée. #libriste

12 Commentaires

  1. Merci pour cet article instructif. Il est tout de même dommage que les mise à jour de sécurité mensuelle de google ne soient pas pour tous. Il faudrait trouver un moyen qu’elles puissent être déployées pour tous.
    On est bien d’accord que le mode de fonctionnement l’empêche aujourd’hui, mais un jour ou l’autre cela finira par nuire à Google et android

    • Mise à part des accords écrits et coûteux entre Google et les constructeurs, je ne vois pas. Dans ce cas, c’est Google qui doit mettre de sa poche et ça, je doute que ce soit un projet qu’ils étudient.
      Google a déjà bien assez à faire avec ses branches non rentables et avec la pub qui est de plus en plus rejetée.

  2. Merci pour cet excellant article Primokorn, c’est clair que les utilisateurs devraient s’y intéresser car certains se plaignent de la forte utilisation de leur data, l’usure prématurée de leur batterie, mais en utilisant des applications comme citées plus haut, ils peuvent en plus de contrôler leur sécurité, gérer les applications qui peuvent utiliser les datas automatiquement, etc…En tout cas, grâce à toi, j’en apprends tous les jours sur Android et je t’en remercie 🙂

  3. +1

    Je rejoins Didier dans son commentaire sur cet excellent article.

    Ne mettons pas tous les œufs dans le même panier et choisissons bien les applications que nous installons…

    • Oui une bonne application, d’ailleurs la nouvelle mise à jour de leo privacy guard est très stable et corrige les problème de consommation de ram.

    • Leo Privacy Guard est propriétaire, pas l’idéal pour la sécurité…
      D’après des retours utilisateurs, une application de Casino a été installée suite à une mise à jour.

      Je privilégierais un écran de verrouillage sécurisé, un chiffrement de la sdcard, AdAway, Xprivacy et AFWall+.

  4. J’en profite pour dire que Leo Privacy Guard a beaucoup de publicités, dont des articles sponsorisés sur des sites de news Android, des très très jeunes comptes sur des forums promouvant les superbes fonctionnalités de l’application, etc.

    C’est plus que suspect à mon humble avis !

  5. Moi je l’ai déjà utilisé c’est plutôt une bonne appli je trouve car Leo privacy guard me permet de cacher certaines de mes données 😉

    • Leo Privacy Guard ne protège RIEN du tout à partir du moment où c’est une application propriétaire !
      Merci d’arrêter de spammer.

      J’en ai marre de voir de la pub pour cette application, avec des comptes utilisateurs qui sortent de nulle part et qui ont la même adresse IP !

      La prochaine fois, vos commentaires seront supprimés.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.