Les smartphones Android les plus vulnérables
A l'heure où les terminaux personnels sont de plus en plus utilisés à des fins professionnelles, l'arrivée des terminaux Android dans les entreprises va constituer un nouveau défi pour les DSI. Une étude réalisée par le fournisseur de solution de sécurité Bit9 s'est justement intéressée à une des caractéristiques de l'OS importante pour le monde de l'entreprise : ses vulnérabilités.
La fragmentation d'Android complique sa sécurité
Premier constat : Android suit un modèle de distribution particulier qui complique la sécurité de ses smartphones. En effet, chaque modèle dispose d'une version de l'OS différente, souvent optimisée par le fabricant et/ou l'opérateur. En outre, ces acteurs se chargent également des mises à jour de l'OS.
Pour classer les modèles selon leur vulnérabilité, Bit9 a donc dû retenir plusieurs critères. D'abord, chaque modèle écope d'une pénalité selon la version d'Android actuellement disponible sur le smartphone. Plus la version de l'OS est ancienne, plus la pénalité est forte. Une version 2.1, sortie en janvier 2010, inflige la pénalité maximum de 7 points. La version 2.2, disponible depuis mai 2010, vaut 5 points de pénalité.
A noter qu'aujourd'hui, même si le code source de la version 4 d'Android est disponible, "40.7 % des terminaux Android tournent sous Android 2.2, et 56% sous la version 2.2 ou une version précédente", relève l'étude.
La pénalité du délai pour mettre à jour
Autre critère pris en compte par le comparatif : le temps mis par chaque modèle à effectivement pousser ses utilisateurs à installer une mise à jour, après la disponibilité officielle annoncée par Google. Ce délai entraine également une pénalité, de 0 à 4 points.
"Comme la plupart des fabricants diffusent des mises à jour majeures qui concernent à la fois leurs composants logiciels particuliers (interface, applications spécifiques au modèle, etc) et l'OS, c'est un bon indicateur pour mesurer la sécurité", estime l'étude.
Enfin une pénalité spéciale (de 3 points) a été attribuée au Sony Ericsson Xperia X10, qui a additionné les risques. Le modèle n'a en effet pas proposé la mise à jour 2.2, passant directement de la version 2.1 à 2.3, et n'a pas incité tous les détenteurs de ce modèle à mettre à jour.
Ces pénalités additionnées donnent un score de vulnérabilité, qui permet de classer les 17 modèles retenus par bit9. A score égal, c'est le modèle ayant le plus de part de marché, selon les chiffres d'AppBrain, qui est jugé comme le moins sûr, car "plus un smartphone est populaire, plus ses failles sont potentiellement graves" se justifie Bit9.
| Rang / Modèle | Score de vulnérabilité | Penalités de version d'OS | Pénalité des délais pour mettre à jour | Délai pour mettre à jour (moyenne, en jours) |
|---|---|---|---|---|
| Source : Bit9 "The Most Vulnerable Smartphones of 2011" | ||||
| 1- Samsung Galaxy Min | 9 | 5 | 4 | 316 |
| 2- HTC Desire | 8 | 5 | 3 | 232 |
| 3- Sony Ericsson Xperia X10 | 6 (+3) | 2 | 3 | 262.33 |
| 4- Sanyo Zio | 8 | 5 | 3 | 304 |
| 5- HTC Wildfire | 8 | 5 | 3 | 228 |
| 6- Samsung Epic 4 | 8 | 5 | 3 | 291.33 |
| 7- LG Optimus S | 7 | 5 | 2 | 165 |
| 8- Samsung Galaxy | 5 | 2 | 3 | 254.33 |
| 9- Motorola Droid X | 4 | 2 | 3 | 140.50 |
| 10 - LG Optimus One | 4 | 2 | 2 | 188.50 |
| 11- Motorola Droid 2 | 4 | 2 | 2 | 148 |
| 12- HTC Evo 4G | 3 | 2 | 1 | 114.33 |
| 13- HTC Desire HD | 3 | 2 | 1 | 116 |
| 14- Samsung Galaxy Ave | 3 | 0 | 3 | 225.33 |
| 15- T-Mobile G2 | 2 | 0 | 2 | 189 |
| 16- HTC Sensation | 2 | 0 | 2 | 135 |
| 17- Samsung Galaxy S2 | 1 | 0 | 1 | 130.5 |
| 18- HTC Droid Incredible | 1 | 0 | 1 | 121.67 |
| 19- Nexus S | 0 | 0 | 0 | 0 |
L'étude faire ressortir plusieurs conclusions saillantes.
Nexus S, exemple de bonne pratique en matière de mise à jour
D'abord, elle note que le Nexus S, fabriqué par Samsung pour Google, affiche les meilleures pratiques en matière de mises à jour d'Android. "Dès que Mountain View rend disponible une nouvelle version, ce smartphone la reçoit presque immédiatement", remarque Bit9.
Cependant, ce modèle exclu, le délai moyen pour intégrer une nouvelle version d'Android est de six mois. Cinq modèles ont même mis plus d'un an à proposer une mise à jour. Et treize modèles de cette liste avaient une mise à jour majeure de retard lorsqu'ils ont été commercialisés.
Samsung, mauvais élève
L'étude relève que le plus mauvais élève, le Samsung Galaxy Mini, a pu être commercialisé en avril dernier avec une version d'Android datant de mai 2010, qui n'a toujours pas fait l'objet d'une mise à jour.
Les délais moyens par fabricant révèlent aussi que Samsung met en général le plus de temps pour inciter ses clients à mettre à jour leur smartphone. Le meilleur élève en la matière est Motorola, dont Google a d'ailleurs racheté les activités "smartphone" l'été dernier.