Bienvenue sur Smartphone France Android Edition
Actuellement, 92 visiteurs en ligne
Vous utilisez un bloqueur de publicités ? Félicitations :)
Actualités du monde Android

Retour au sommaire du site

  Android, le système d'exploitation le moins sécurisé du monde ?
 Publié le 04/01/2017 à 16:30 - 17 commentaires ...

N'en déplaise à certains, Android est malheureusement le système d'exploitation intégrant le plus de failles de sécurités qui ont été découvertes. Nous ne sortons pas cette affirmation d'un chapeau magique mais des chiffres publiés en toute transparence par le CVE Details qui recense toutes les failles de sécurités découvertes dans les logiciels informatiques à travers le monde.

Avec 523 failles recensées, Android est largement en tête devant par exemple un Windows 10 qui n'en affiche que 172. Les plus mauvaises langues vous nous rétorquer que tous Windows confondus il y a bien plus de failles mais quand on connaît le monde Microsoft on sait très bien qu'une même faille se retrouve dans toutes les versions de Windows ... depuis Windows NT ! Ce qui est étonnant et qui fera taire les rumeurs populaires qui affirment que l'Open Source est l'assurance de la sécurité, avant Windows 10 on trouve tout de même 5 systèmes Linux qui ont plus de failles de sécurité. Comme pour Windows tous les Linux sont basés sur le même code mais cette situation ne fait que confirmer une chose, Android comme Linux ne sont pas plus sécurisés que Windows !

Pour se rassurer les défenseurs d'Android nous rétorqueront que leur système fétiche est aujourd'hui plus sûr car la majorité des failles ont été découvertes. Il est vrai qu'il est plus sécurisé qu'avant mais comment croire à cette situation quand les découvertes de failles explosent en nombre ? Un smartphone Android c'est certes génial mais comment faire confiance à un système avec autant de problèmes de sécurité quand on lui confie toute sa vie ou presque ?


 04/01/2017 16:52:50 - Duncan Idaho
Ben, oui, Android est open-source... Les failles sont forcement plus faciles à trouver ! (et à corriger, du coup)
 04/01/2017 16:58:15 - Christophe - Le Webmaster ...
@Duncan Idaho : Ca te rassure un système où plus de 500 failles ont été découvertes en un an ? Il en reste certainement bien plus !

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 04/01/2017 17:48:10 - enerhpozyks
Y'a beaucoup de conneries dans cet article.

1. Tu confonds Linux et Android
Linux, c'est un noyau. En gros, ça gère le matériel et la façon dont les logiciels vont interagir avec. Si Android = Linux, alors on devrait avoir les mêmes failles dans le kernel Linux et dans Android. Ici, on voit bien que non, puisqu'Android a droit à ~140% de failles en plus toujours, selon CVE details.
De la même manière, le kernel Linux a plus de failles qu'Android dans certaines catégories.

Aussi, Linux est un logiciel modulaire et certaines fonctionnalités ne sont pas activées partout par tout le monde. Une faille dans l'émulateur KVM aura peu d'impact sur Android.
De même, parmis les failles dans Android, certaines sont très ciblées. Par exemple, la CVE-2016-6910 ne touche que les Samsung Galaxy S6 sous Android 5.0.2. Il s'agit d'une faille dans le gestionnaire de notification qui n'impacte pas Linux, car c'est un composant haut niveau qui n'est pas disponible sous des ordinateurs ou des serveurs sous Linux.

2. C'est pas le nombre de failles qui compte, mais leur gravité, leur accessibilité et la vitesse à laquelle elles sont corrigées.
Et là, c'est pas sur des stats que l'on peut savoir ce qui se passe, même si ça aide. Je vais reprendre l'exemple de la CVE-2016-6910, qui a été découverte APRÈS avoir été patchée officiellement.
Aussi, il y a les failles de type Denial of Service. Qui vont du plantage d'une application (dérangeant) au redémarrage de l'appareil (un peu plus chiant).

Et toutes ne sont certainement pas utilisables à distance et silencieusement. Une grande partie demandera une action de la part d'un utilisateur. Et sur ça, CVE details ne fait pas de statistiques.

3. La bonne question n'est pas "comment faire confiance à un système avec autant de problèmes de sécurité quand on lui confie toute sa vie ou presque ?" mais plutôt "doit-on confier toute sa vie ou presque à un système qui les centralise chez des personnes dont j'ignore tout ?"

Et je suis d'accord avec Duncan Idaho : un système où plein de failles sont trouvées (et corrigées) parce que les sources sont publiques, je trouve ça plus rassurant qu'un système fermé avec peu de failles "trouvées". Le problème dans le second cas, c'est que les failles référencées sont celles pour lesquelles la société accepte de communiquer. Dans un système open source ou libre, la communication est obligatoire puisque le code et les prises de décisions sont publiques.
 04/01/2017 17:56:09 - Christophe - Le Webmaster ...
@enerhpozyks : Encore un fanboy qui lit en diagonale ! Elle est où la confusions Linux Android ? La seule analogie qui est faites entre les 2 est leur statut "Open Source" ! Bravo les fanboys car pour moi Android est tout sauf la sécurité sociale et confier ses données à Google est certainement le pire de tout alors que sur le papier Android était une excellente idée.

Merci de ne pas lire les choses en diagonale car à aucun moment Linux n'est comparé à Android et si il est fait écho de Linux c'est pour les fanboys comme vous qui font systématiquement l'amalgame insécurité / Windows. Pour le reste l'article est juste là pour que chacun puisse se faire une opinion car la majorité des articles vont dans votre sens en affirmant que Open Source est synonyme de sécurité alors que ce n'est pas du tout vrai.

Après votre manière de présenter les choses en affirmant que Open Source = Démocratie et transparence est une manière habituelle de manipuler le monde à votre avantages en faisant croire que les méchantes sociétés comme Microsoft ou Apple ne communiquent pas leurs failles et font ainsi baisser les statistiques. C'est une nouvelle fois un mensonge car l'origine première des CVE n'est aucunement les organismes ou sociétés en charge des logiciels.

Que ce soit Linux, Android, Microsoft, Apple ... je ne défends personne car toutes ont leurs gros inconvénients. Ce que je ne veux pas voir par contre c'est le monde merveilleux de Google et de son Android libre et ouvert car c'est sans aucun doute par lui que viendront le plus de problèmes à l'avenir. Perso je m'en tape en n'utilisant pas les services de Google Apple ou Microsoft mais que ceux qui le font soient bien conscients des risquent qu'ils prennent.
 04/01/2017 18:10:19 - Ledolley
Merci pour ton article Christophe. Je vais le montrer à ma fille qui est une fan de Samsung et qui ne me croit pas quand je lui dit qu'il y a plein de failles de sécurité sur Android.

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 04/01/2017 18:17:15 - Christophe - Le Webmaster ...
Aujourd'hui plein de monde se voile la face où ne veulent pas admettre la vérité, Android est très peu sécurisé. Il est aussi peu sécurisé que Windows il y a quelques années où il y avait tous les jours de centaines de nouveaux virus. Admettre que Windows est merdique peu sécurisé est facile pour certains mais admettre le contraire leur est impossible.

Dommage car c'est la réalité de l'industrie de l'informatique aujourd'hui. Android d'aujourd'hui est le Windows d'hier en étant la cible de tous les pirates car potentiellement celui qui peut rapporter le plus. Simple constat mais trop dur à admettre pour certains. Apple est un peu mieux car de base pas ouvert et Windows Mobile très tranquille car très peu vendu.
 04/01/2017 20:19:08 - enerhpozyks
Je suis tellement fanboy que je n'utilise ni les services de Google ni même Android :-)

Effectivement, j'ai mal lu (ou pas relu en écrivant mon commentaire et oublié entre temps), tu ne confond pas Android et Linux, my bad.

En revanche, tout ce que je dis après reste valide. C'est pas le nombre, mais le type de faille qui compte, quelque soit la plateforme. 500 failles de "je fais crasher ton appli" ne valent pas 3 failles de "je peux prendre contrôle de ton ordinateur à distance". Il n'a jamais été question de faire une balance dans un sens ou dans un autre, je dis juste que cracher sur un système sur des statistiques dénuées d'intérêt qualitatif tout en encensant Windows (traiter les personnes qui n'ont pas ton avis de fanboys et de mauvaises langues après des formulations minimisant les failles de Windows, c'est ce que j'appelle encenser) et après en se plaçant comme une victime, c'est très intellectuellement limite, AMHA. Je n'ai défendu aucune paroisse dans mon commentaire (j'ai juste précisé que j'avais une préférence pour le libre), j'ai juste proposé de ne pas surinterpréter ces chiffres.

Je fais personnellement le choix de faire plus confiance à l'open source et au libre car je trouve logique de faire plus confiance à quelqu'un qui me fait confiance en me montrant tout qu'à une personne qui me cache tout et me dit "faites moi confiance". C'est une question de philosophie et chacun fait son choix.
Et, non, l'open source n'est pas une démocratie, mais une technocratie : ceux qui savent faire décident en faisant.

Paix et amour,
 04/01/2017 21:44:18 - Christophe - Le Webmaster ...
@enerhpozyks : Ne te fais plus d'illusions sur l'Open Source. Fini la belle époque. Aujourd'hui tout est géré par "des fondations" et leurs direction. Croire à la magie de l'Open Source est pour moi illusoire. C'est un concept sympa car ça accélère grandement les développements mais ça ne protège de rien, bien au contraire avec des pirates qui analyse le code à leur avantage.

Pour en revenir au sujet pour moi ces failles d'Android sont un véritable danger pour une simple et bonne raison : 99% des appareils ne sont jamais mis à jour et font de leur propriétaires des victimes en puissance.
 04/01/2017 22:33:15 - enerhpozyks
Je crois que tu te fourvoie sur ce qu'est une fondation... Le code continue d'être libre et modifiable par tous et quand les gens ne sont pas contents, ils forkent. Comme à la "belle époque".

Par contre, oui, si tu veux parler de problèmes de sécurité sur Android : le manque de mises à jour des terminaux est clairement plus pertinent.
 04/01/2017 22:38:38 - Christophe - Le Webmaster ...
@enerhpozyks : La sécurité d'un système c'est un tout. Que les failles soient trouvées et corrigée c'est bien mais elles restent certainement toujours très nombreuses et celles qui sont corrigées ne sont que très rarement mises à jour sur les terminaux en circulation.
 04/01/2017 22:42:45 - Choka271
@christophe sans oublier le nombre de proies car sur androïd ils sont très nombreux.

Google ce vente de faire du chantage contre des problèmes sur Windows... Mais avant de faire marcher et embêtez les autres, ils faudrait qu'ils apprennent à le faire sur leurs systèmes.

Androïd= mouton
Ios= pigeon
Et Windows 10 mobile= originalité

Nan je dec, pas tout le monde n est un mouton ni un pigeon, sauf si il ne juge que par des choses dont il n'ont jamais vu ni l'interface ni utiliser le système d 'exploitation à fond. Et moi qui sais? Je suis peut é un vieux c**

Édit: Androïde= correcteur orth

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 04/01/2017 22:57:11 - Skypichat
@enerhpozyks :
Quand on voit que Microsoft est devenu un parrain énorme de ces fameuses fondations à coup de millions. L'open Source s'achete aussi... Ça fait réfléchir. Qui aura le dernier mot?

C'est vrai que beaucoup de failles viennent aussi de surcouches des fabriquants. C'est ce qui rend fragile Android.

Enfin, quand on lit que les chinois on mis un vers dans la plupart des Smarphones de marques bien connues pour récolter des données sur leurs serveurs. Ça laisse réfléchir. C'est une atteinte à la vie privée mais c'est aussi une grave erreur et peut être considéré comme espionnage à grande échelle.

Pour ce qui est de Windows, je pense que le programme Insider doit aussi être un bon moyen de trouver des failles tout en développant très vite le système.

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 05/01/2017 11:04:06 - enerhpozyks
@Christophe: Oui, c'est un tout. Mais encore une fois : CVE ne repertorie pas que des failles de sécurité. Ils s'agit de failles, tout court. On ne peut pas faire de constat sur la _sécurité_ d'un système de cette façon. De même, si des failles sont trouvées, elles ne sont pas toujours exploitables, il ne faut donc pas tirer de conclusion hâtives, surtout sur des statistiques de statistiques.

@Skypichat: Les fondations ne sont pas des organismes dirigeants. C'est une structure légale pour récolter les dons et organiser des évènements (bug bounty, etc.), c'est toujours les contributeurs qui choisissent ce qui est dans le logiciel. Contrairement aux sociétés qui choisissent ce qui est inclus ou pas selon leurs intérêts. Et quand les utilisateurs ne sont pas content de la direction d'un projet, ils en font un autre : NextCloud (OwnCloud), Scientific Linux (Red Hat Entreprise Linux) ou même le kernel Android sont des exemples de forks nés de ce genre de désaccords.
 06/01/2017 23:56:44 - GrosLap
Un peu trop techniques pour moi vos échanges, mais la seule chose que je retiens, c'est que ma tablette Asus, achetée il y a plus de trois ans, n'a reçu qu'une seule mise à jour. Ma prochaine tablette sera donc forcément sous Windows 10.

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 08/01/2017 22:20:33 - Christophe - Le Webmaster ...
@GrosLap : C'est globalement le résumé de l'histoire. Sur Android ou Windows il y a plein de failles et de bugs mais sur Android il y a quasiment aucune mise à jour contrairement à Windows.
 09/01/2017 11:11:03 - enerhpozyks
Voilà. Sinon, l'alternative c'est d'avoir une tablette / téléphone avec une ROM Custom. C'est comme ça que je faisais, je regardais la liste des machines supportées par CyanogenMod avant d'acheter et quand je le recevais, je commençais par changer de ROM.
 10/01/2017 16:16:20 - Duncan Idaho
Ou de passer par du Nexus.

Cela dit, malgrès le nombre de failles de sécurités, je ne suis pas persuadé qu'il y en ai beaucoup d'utilisées.

Parce que la plus grosse sécurité, au final, ca reste Google qui vérifie qu'il n'y ai pas de logiciels malicieux sur leur store, et les en élimine dès qu'ils sont détectés. Ils peuvent même les désinstaller à distance des téléphones (même si ils se sont très peu servi de ce "pouvoir")

Au final, je ne connais pas les chiffres, mais je doute qu'il y ai eu beaucoup de virus installés ou de failles de sécurités utilisées parmi les utilisateurs du play store (par rapport aux stores alternatifs, moins sécurisés)
D'autant que quand on voit le nombre d'android en circulation, c'est normal qu'il y ai plus d'attention sur ce système.

Cela dit, ... En suivant le lien sur le nombre de failles de sécu détectées, on voit que les 3 premiers sont : Android, Debian, Ubuntu. Et pourtant, qui oserait dire que Deb/Ubuntu ne sont pas sécurisés ?
C'est con à dire, mais le nombre de failles détectées ne font pas la non-sécurisation du système.

On pourrait faire le rapprochement Windows/MacOS. MacOS a toujours été gargarisé parce qu'il y avait moins de virus sur ce système alors que ses portes étaient ouvertes... Le système était très peu sécurisé... Mais aucun hacker ne s'y intéressait, vu le peu de parts de marchés.

Bref, il serait plus intéressant de savoir quelle est la proportion des utilisateurs ("non bidouilleurs") qui ont été confrontés à des problèmes de sécurités sous Android (par rapport aux autres OS et aux parts de marchés)
Perso, j'ai un android depuis le premier (HTC Dream), je suis un grand bidouilleur, j'ai testé des centaines d'apps... Et je n'ai jamais été confronté à des problèmes de sécurité !

Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier

Créer un compte sur le forum du site

S'authentifier sur le site avec son compte personnel




Retour à la page principale du site