| Android, le système d'exploitation le moins sécurisé du monde ? | ||
|
| 04/01/2017 16:52:50 - Duncan Idaho |
| Ben, oui, Android est open-source... Les failles sont forcement plus faciles à trouver ! (et à corriger, du coup) |
| 04/01/2017 16:58:15 - Christophe - Le Webmaster ... |
| @Duncan Idaho : Ca te rassure un système où plus de 500 failles ont été découvertes en un an ? Il en reste certainement bien plus ! Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 04/01/2017 17:48:10 - enerhpozyks |
| Y'a beaucoup de conneries dans cet article. 1. Tu confonds Linux et Android Linux, c'est un noyau. En gros, ça gère le matériel et la façon dont les logiciels vont interagir avec. Si Android = Linux, alors on devrait avoir les mêmes failles dans le kernel Linux et dans Android. Ici, on voit bien que non, puisqu'Android a droit à ~140% de failles en plus toujours, selon CVE details. De la même manière, le kernel Linux a plus de failles qu'Android dans certaines catégories. Aussi, Linux est un logiciel modulaire et certaines fonctionnalités ne sont pas activées partout par tout le monde. Une faille dans l'émulateur KVM aura peu d'impact sur Android. De même, parmis les failles dans Android, certaines sont très ciblées. Par exemple, la CVE-2016-6910 ne touche que les Samsung Galaxy S6 sous Android 5.0.2. Il s'agit d'une faille dans le gestionnaire de notification qui n'impacte pas Linux, car c'est un composant haut niveau qui n'est pas disponible sous des ordinateurs ou des serveurs sous Linux. 2. C'est pas le nombre de failles qui compte, mais leur gravité, leur accessibilité et la vitesse à laquelle elles sont corrigées. Et là, c'est pas sur des stats que l'on peut savoir ce qui se passe, même si ça aide. Je vais reprendre l'exemple de la CVE-2016-6910, qui a été découverte APRÈS avoir été patchée officiellement. Aussi, il y a les failles de type Denial of Service. Qui vont du plantage d'une application (dérangeant) au redémarrage de l'appareil (un peu plus chiant). Et toutes ne sont certainement pas utilisables à distance et silencieusement. Une grande partie demandera une action de la part d'un utilisateur. Et sur ça, CVE details ne fait pas de statistiques. 3. La bonne question n'est pas "comment faire confiance à un système avec autant de problèmes de sécurité quand on lui confie toute sa vie ou presque ?" mais plutôt "doit-on confier toute sa vie ou presque à un système qui les centralise chez des personnes dont j'ignore tout ?" Et je suis d'accord avec Duncan Idaho : un système où plein de failles sont trouvées (et corrigées) parce que les sources sont publiques, je trouve ça plus rassurant qu'un système fermé avec peu de failles "trouvées". Le problème dans le second cas, c'est que les failles référencées sont celles pour lesquelles la société accepte de communiquer. Dans un système open source ou libre, la communication est obligatoire puisque le code et les prises de décisions sont publiques. |
| 04/01/2017 17:56:09 - Christophe - Le Webmaster ... |
| @enerhpozyks : Encore un fanboy qui lit en diagonale ! Elle est où la confusions Linux Android ? La seule analogie qui est faites entre les 2 est leur statut "Open Source" ! Bravo les fanboys car pour moi Android est tout sauf la sécurité sociale et confier ses données à Google est certainement le pire de tout alors que sur le papier Android était une excellente idée. Merci de ne pas lire les choses en diagonale car à aucun moment Linux n'est comparé à Android et si il est fait écho de Linux c'est pour les fanboys comme vous qui font systématiquement l'amalgame insécurité / Windows. Pour le reste l'article est juste là pour que chacun puisse se faire une opinion car la majorité des articles vont dans votre sens en affirmant que Open Source est synonyme de sécurité alors que ce n'est pas du tout vrai. Après votre manière de présenter les choses en affirmant que Open Source = Démocratie et transparence est une manière habituelle de manipuler le monde à votre avantages en faisant croire que les méchantes sociétés comme Microsoft ou Apple ne communiquent pas leurs failles et font ainsi baisser les statistiques. C'est une nouvelle fois un mensonge car l'origine première des CVE n'est aucunement les organismes ou sociétés en charge des logiciels. Que ce soit Linux, Android, Microsoft, Apple ... je ne défends personne car toutes ont leurs gros inconvénients. Ce que je ne veux pas voir par contre c'est le monde merveilleux de Google et de son Android libre et ouvert car c'est sans aucun doute par lui que viendront le plus de problèmes à l'avenir. Perso je m'en tape en n'utilisant pas les services de Google Apple ou Microsoft mais que ceux qui le font soient bien conscients des risquent qu'ils prennent. |
| 04/01/2017 18:10:19 - Ledolley |
| Merci pour ton article Christophe. Je vais le montrer à ma fille qui est une fan de Samsung et qui ne me croit pas quand je lui dit qu'il y a plein de failles de sécurité sur Android. Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| Vu le nombre important de commentaires concernant cet article (17 participations) seules les 5 premières & les 5 dernières participations sont actuellement affichées. Cliquez ICI si vous désirez afficher tous les commentaires |
| 05/01/2017 11:04:06 - enerhpozyks |
| @Christophe: Oui, c'est un tout. Mais encore une fois : CVE ne repertorie pas que des failles de sécurité. Ils s'agit de failles, tout court. On ne peut pas faire de constat sur la _sécurité_ d'un système de cette façon. De même, si des failles sont trouvées, elles ne sont pas toujours exploitables, il ne faut donc pas tirer de conclusion hâtives, surtout sur des statistiques de statistiques. @Skypichat: Les fondations ne sont pas des organismes dirigeants. C'est une structure légale pour récolter les dons et organiser des évènements (bug bounty, etc.), c'est toujours les contributeurs qui choisissent ce qui est dans le logiciel. Contrairement aux sociétés qui choisissent ce qui est inclus ou pas selon leurs intérêts. Et quand les utilisateurs ne sont pas content de la direction d'un projet, ils en font un autre : NextCloud (OwnCloud), Scientific Linux (Red Hat Entreprise Linux) ou même le kernel Android sont des exemples de forks nés de ce genre de désaccords. |
| 06/01/2017 23:56:44 - GrosLap |
| Un peu trop techniques pour moi vos échanges, mais la seule chose que je retiens, c'est que ma tablette Asus, achetée il y a plus de trois ans, n'a reçu qu'une seule mise à jour. Ma prochaine tablette sera donc forcément sous Windows 10. Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 08/01/2017 22:20:33 - Christophe - Le Webmaster ... |
| @GrosLap : C'est globalement le résumé de l'histoire. Sur Android ou Windows il y a plein de failles et de bugs mais sur Android il y a quasiment aucune mise à jour contrairement à Windows. |
| 09/01/2017 11:11:03 - enerhpozyks |
| Voilà. Sinon, l'alternative c'est d'avoir une tablette / téléphone avec une ROM Custom. C'est comme ça que je faisais, je regardais la liste des machines supportées par CyanogenMod avant d'acheter et quand je le recevais, je commençais par changer de ROM. |
| 10/01/2017 16:16:20 - Duncan Idaho |
| Ou de passer par du Nexus. Cela dit, malgrès le nombre de failles de sécurités, je ne suis pas persuadé qu'il y en ai beaucoup d'utilisées. Parce que la plus grosse sécurité, au final, ca reste Google qui vérifie qu'il n'y ai pas de logiciels malicieux sur leur store, et les en élimine dès qu'ils sont détectés. Ils peuvent même les désinstaller à distance des téléphones (même si ils se sont très peu servi de ce "pouvoir") Au final, je ne connais pas les chiffres, mais je doute qu'il y ai eu beaucoup de virus installés ou de failles de sécurités utilisées parmi les utilisateurs du play store (par rapport aux stores alternatifs, moins sécurisés) D'autant que quand on voit le nombre d'android en circulation, c'est normal qu'il y ai plus d'attention sur ce système. Cela dit, ... En suivant le lien sur le nombre de failles de sécu détectées, on voit que les 3 premiers sont : Android, Debian, Ubuntu. Et pourtant, qui oserait dire que Deb/Ubuntu ne sont pas sécurisés ? C'est con à dire, mais le nombre de failles détectées ne font pas la non-sécurisation du système. On pourrait faire le rapprochement Windows/MacOS. MacOS a toujours été gargarisé parce qu'il y avait moins de virus sur ce système alors que ses portes étaient ouvertes... Le système était très peu sécurisé... Mais aucun hacker ne s'y intéressait, vu le peu de parts de marchés. Bref, il serait plus intéressant de savoir quelle est la proportion des utilisateurs ("non bidouilleurs") qui ont été confrontés à des problèmes de sécurités sous Android (par rapport aux autres OS et aux parts de marchés) Perso, j'ai un android depuis le premier (HTC Dream), je suis un grand bidouilleur, j'ai testé des centaines d'apps... Et je n'ai jamais été confronté à des problèmes de sécurité ! |
Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier
Créer un compte sur le forum du site
S'authentifier sur le site avec son compte personnel
Fermer ce formulaire