Les malwares sous Android
« Un nouveau malware pour Android un peu trop curieux » titrait Clubic hier soir.
C’est le vers DreamDroid qui ferait des ravages ces derniers temps en enregistrant l’intégralité des conversations.
Des occasions comme celle-ci se manifestant d’en plus en plus souvent comme le montre Cnet via la graphique ci dessous. A ces occasions, il y a toujours une personne pour lancer un petit « ah ça avec mon iPhone, y a pas de problèmes avec le contrôle d’Apple ». Essayons de répondre à ce troll de façon intelligente.
Credit Lookout
Quel est le type de menaces que l’on peut rencontrer ?
Il y a d’abord le pishing qui vise de façon indifférente toutes les plateformes. Facile à éviter, il suffit de se souvenir où se trouve son cerveau avant de cliquer comme un fou sur tout ce qui bouge ou répondre à ce brave Nigérien voulant nous léger sa fortune. Derrière ce coté caricatural on a aussi du pishing plus subtile comme un site se faisant passer pour gmail. La barre d’adresse étant minimisée par défaut sous Android, pensez à la vérifier quand vous devrez indiquer une information sensible.
Nous avons ensuite, les applications abusant des permissions requises pour voler des informations. Là encore une fois, il suffit en général de réfléchir un peu.
Pour chaque application, une série de permissions est requise pour délimiter à quoi celle-ci a accès. Techpp passe en revue la liste des permissions. Lorsque l’on nous indique la liste des permissions à accorder, tournez 3 fois votre téléphone dans votre bouche avant d’accepter. Est-ce que CHAQUE permission est justifiée ? Pourquoi cette application a-elle besoin de lire le contenu de ma carte SD ? De connaitre votre position géographique ? Si vous avez un doute, n’installez pas l’application à moins d’être sûr qu’elle soit légitime (l’avoir trouvée en cherchant « best FPS android » dans Google n’en fait pas une légitime).
Un problème avec les permissions est que certaines ne sont pas très précises. Par exemple il est légitime qu’une application sache si vous recevez un appel (elle se met en pause) mais le problème est qu’elle connait ainsi l’identité du contact par la même occasion. Il est normal que l’application stocke ses données sur la carte SD mais par cela elle a accès également à toutes les autres données stockées dessus. Elle pourrait tout effacer ou récupérer les mots de passes stockés en clair. Vraiment, je trouve qu’il faudrait affiner ce système de permission mais avec un peu de jugeote vous pouvez éviter facilement le pire. Si vous avez un doute, vous pouvez également envoyer un email au développeur pour lui demander de se justifier.
Des applications comme celles-ci se glisse parfois dans l’Android Market qui, contrairement à Apple, ne contrôle pas le contenu de l’application. C’est certes moins sécurisé mais le contrôle stricte me fait fort penser aux totalitaires qui imposent des choses contraignantes « pour votre sécurité », c’est comme ça qu’on justifie toutes les infractions à la vie privée ou liberté d’expression au passage. Je me considère assez intelligent pour choisir moi même les applications que je veux et j’en ai assez de cette pensée pré-mâchée.
Après il y a aussi le problème des applications venant de l’extérieur du Market. A la vente de chaque application, Google prend une part de 30% comme Apple. Ça fait cher je trouve, mais au moins, il ne nous oblige pas à l’utiliser. Dans les options, vous pouvez spécifier que vous acceptez les sources externes.
Aller rechercher l’apk de la dernière version d’un logiciel sur github n’est pas très risqué mais assurez vous d’activer l’option uniquement quand vous en avez besoin. Certains malwares peuvent se faire passer pour l’Android Market et vous infecter, mais ils seront toujours considérés comme une source externe et donc bloqué.
Vous avez repéré une application gratuite sur un market externe alors qu’elle est payante sur l’android market ? Il y a surement une raison : elle est piratée. Par respect du développeur, évitez au maximum, 2€ n’est pas la mort pour une application. Je déconseille grandement mais si vraiment vous ne voulez pas payer, considérez à 2 fois les permissions. Si l’application d’origine ne faisait en effet que stocker des données de sauvegarde sur la carte SD, rien ne le garantit pour la version pirate. Privilégiez les applications open source et lisez bien les commentaires des gens. Soyez bon joueur, participez au système et laissez un commentaire quand vous êtes satisfait ou non de l’application. N’hésitez pas à contacter le développeur plutôt que le descendre en cas de bug.
Il existe aussi les malwares utilisant des failles dans le système. N’oubliez pas de bien mettre à jour vos applications et surtout le système de votre téléphone. Vous avez un mauvais constructeur qui ne met pas à jour votre android ? Après lui avoir envoyé un étron fumant par la poste, donnez une seconde vie à votre téléphone en installant CyanogenMod. Certains malwares ne touchent que certaines versions et vous serez plus sécurisés avec les dernières.
Comme pour tout, la liberté implique des risques. Si l’on autorise au gens à acheter des couteaux de boucher, il ne faut pas s’étonner que certains les utilisent pour tuer. Cependant, interdire tous les couteaux n’est pas une solution (désolé pour cette métaphore à deux balles).
Le fait de ne pas contraindre les gens à un market est globalement une bonne chose. Sous Windows les gens sont habitués à télécharger des applications à gauche à droite et oui ils ont des virus (tout comme des scripts malicieux sous linux sont possibles). Mais les gens qui réfléchissent un minimum n’ont pas grand chose à craindre. Montrez que vous savez encore réfléchir par vous même et ne vous laissez pas prendre !
Je conseille également la lecture du post de A lost packet qui donne une bonne liste de conseils
