iOS et Android immatures pour les entreprises

Un rapport accablant de Symantec fustige les failles béantes des deux OS mobiles. Des expertises indépendantes pointent aussi l'immaturité des solutions de gestion et sécurisation de parc de smartphones.

"La sécurité défaillante des systèmes Android et iOS révèle à quel point ils ont été conçus pour le grand public et non pour les entreprises", remarque Thomas Houdy, manager Lexsi qui organise régulièrement des ateliers sur ce sujet. C'est aussi l'une des conclusions saillantes d'un récent rapport Symantec, qui compare la sécurité de ces deux OS. Le bilan est sans appel, et il est encore plus sévère pour la plateforme Android.

 

Laxisme, Trojan et vulnérabilités 0 day pour Android.

Le système d'Android accueille de manière bien plus laxiste les applications tierces que celui d'Apple. L'OS de Google permet facilement aux attaquants, comme le souligne le rapport Symantec de "diffuser anonymement des malwares". Véritables trojans ("Pjapps" ou "Geinimi", ou encore Soundminer voire une variante de Zeus), faux lecteur de média ("Fakeplayer") envoyant des SMS surtaxés... 

De nombreux logiciels malveillants se sont déjà installés sur un nombre considérable de terminaux Android. Certains se sont notamment fait passer pour des applications légitimes, développées par de soi disant banques par exemple, ce qui leur a permis d'envoyer aux pirates des informations sensibles.

L'étude Symantec s'attarde sur le malware "Rootcager", parfois aussi appelé "DroidDream", qui a exploité deux vulnérabilités de l'OS Google pour obtenir les droits les élevés sur le terminal. "Or, ces deux vulnérabilité ont été corrigées dans la version Android 2.3 alors que la plupart des terminaux Android tournent aujourd'hui encore sous la version 2.2 de l'OS", fait remarquer l'étude Symantec.

 

Application et accès aux données sensibles

Autre point sensible : les données auxquelles ont accès les applications (détaillées de manière exhaustive dans l'étude Symantec). Avant d'être installée et pour être utilisable, chaque application Android présente la liste des données auxquelles elle va devoir accéder pour fonctionner. "Malheureusement dans la grande majorité des cas, les utilisateurs ne sont pas suffisamment informés et équipés pour prendre ce genre de décision", estime le rapport Symantec.

De son côté la boutique d'applications d'Apple, plus fermée, n'est cependant pas infaillible. Ainsi un développeur a pu proposer dans l'AppStore une application supposée servir àde lampe, mais contenant en fait un code lui permettant de transformer l'iPhone en modem 3G – ce que n'autorisait alors pas Apple.

"Les DSI sont démunis"

"Il n'est donc pas inconcevable d'imaginer qu'un malware puisse se glisser dans l'AppStore", confirme Thomas Houdy.

En outre, ce dernier explique que "des centaines d'applications sont soumises chaque jour à Apple pour subir un audit. Mais si Apple reste assez opaque sur sa méthodologie en matière d'audit de sécurité du code, il est assez difficile d'imaginer que des humains examinent à la loupe le détail de chaque code. Il est dès lors envisageable que le process soit semi automatisé, à la recherche de bout de code suspect", pense Thomas Hourdy, qui constate également que Lexsi se voit de "plus en plus" confier des audits de sécurité sur les applications professionnelles pour smartphone.

 

Smartphone perdu et chiffrement des données

Lexsi a également étudié la faisabilité d'extraire les données embarquées dans un iPhone verrouillé, perdu ou volé. Un scénario particulièrement plausible dont le dénouement peut être catastrophique. "Nous avons pu écrire un script qui nous a permis, à partir d'un iPhone non jailbreaké  d'accéder aux e-mails, au carnet d'adresse, à l'agenda ou même  aux cookies ". Autant d'informations qui peuvent conduire à l'obtention de données très sensibles professionnelles ou personnelles (identifiants bancaires, couple login/mot de passe).

Lexsi n'a pas reproduit l'expérience sur les smartphones Android, mais Thomas Houdy estiment que le résultat serait peu ou prou le même sur avec l'OS de Google , "Android aurait même sans doute des protections plus faibles".

A ses yeux, seuls les Blackberry, et leur BlackBerry Enterprises Server, ont nativement été conçus pour répondre aux exigences des DSI et surtout des RSSI : la protection des données embarquées y est donc plus robuste.  Or, rappelle l'expert, des conférences de hacking, comme Defcon, ont aussi déjà démontré de graves vulnérabilités dans les systèmes RIM...

 

Mobile Device Management "immature"

Une solution pourrait permettre de juguler un grand nombre des failles évoquées : un outil de gestion de parc de smartphones. De tels outils, appelé MDM (pour Mobile Device Management), permettraient de contrôler et filtrer à distance e et ainsi de prévenir bon nombre de  risques. Or, le sentiment de l'expert de Lexsi est là aussi sans appel : "Même s'il existe des solutions basiques qui assurent le service minimum, ces outils sont immatures, et certaines fonctionnalités nécessaires manquent encore à l'appel" .

Il souligne en outre que "les retours d'expérience positifs sur ce type de projets sont encore rares, voire inexistants : "Les DSI sont démunis", conclut-il, et "cela sera sans nul doute un des défis des fournisseurs dans les mois à venir".