Android : un bilan de sécurité 2018 positif, mais imparfait

Google a récemment publié son bilan de sécurité 2018 pour Android. L’occasion pour l’éditeur de rappeler ses efforts dans le domaine, qui ne doivent pas faire oublier certaines réalités sous-jacentes.

Plus de deux milliards : c’est le nombre d’appareils actifs sous Android en circulation selon Google. Dix ans après la première version, le monde de la téléphonie a beaucoup changé, mais les problématiques de sécurité sont toujours aussi vives. Elles n’ont fait que se déplacer et chaque mouvement de l’éditeur est suivi d’une adaptation des pirates.

Le bilan de sécurité que dresse Google pour 2018 a en partie de quoi réjouir, si l’on s’en tient aux seuls chiffres fournis. L’entreprise vante la transparence de ses processus de sécurité, tout particulièrement via son programme de récompense pour les failles signalées par des chercheurs et autres tiers. En 2018, plus de 3 millions de dollars ont ainsi été distribués.

Voici les principales tendances que nous pouvons tirer de ce rapport.

• Lire le bilan de sécurité d'Android 2018 (en anglais)

Une baisse de 20 % du nombre d’infections

Parmi les chiffres lancés par Google, certains sont particulièrement intéressants, tant qu’ils sont replacés dans un contexte plus global. Par exemple, 0,45 % des appareils « seulement » auraient exécuté un code malveillant en 2018, toutes versions d’Android confondues. Une baisse de 20 % du nombre d’infections, par rapport aux 0,56 % de 2017.

Le bilan est également l’occasion pour Google de vanter les mérites de son Android Pie, puisque sur cette plateforme, 0,18 % des installations d’applications étaient des PHA (Potentially Harmful App), contre 0,65 % sur Android 5.0, qui réalise le plus mauvais score. Des chiffres guère étonnants puisque chaque mouture du système apporte de nouvelles protections.

Notez que Google sépare pour la première fois les PHA « souhaitées » et « non souhaitées » par l’utilisateur. Comment pourrait-on désirer une PHA ? Parce que dans « Potentially », Google nuance l’aspect malveillant d’un code exécutable.

Une application conçue par exemple pour rooter le système est perçue par Protect comme une « agression ». L’éditeur tâche de rassembler dans une catégorie spécifique celles que les utilisateurs peuvent vouloir installer en toute connaissance de cause. Il n’y a par contre aucune chance de les trouver sur le Play Store.

Une évolution positive donc, a priori à périmètre égal puisque ces chiffres ne sont récupérables que si le Play Store est actif sur l’appareil, ce qui n’est pas le cas de tous, loin de là. Android est en effet installé sur une grande variété de produits. Les constructeurs l’utilisent pour des besoins divers, parfois sans boutique et presque sans mises à jour.

Toujours selon Google, le nombre total de malwares aperçus – qui n’est pas donné – a chuté de 15 %. Là encore, un chiffre à prendre avec des pincettes puisqu’il ne concerne que les PHA que Google Protect a su repérer.

Un Play Protect que Google n’hésite pas à présenter comme « la solution de protection contre les menaces sur mobiles la plus déployée au monde ». Avec plus de deux milliards d’appareils, on le croit sans peine. Protect analyserait 50 milliards d’applications chaque jour (sic). Un chiffre à relativiser en partie puisqu’il correspond à l’ensemble des applications scannées sur les appareils où Protect s’exécute.

N’oublions pas non plus que même si Protect est actif, il ne fait pas que surveiller les seules applications provenant du Play Store. Google le sait et laisse les chiffres parler d’eux-mêmes. 0,68 % des appareils ayant activé les sources tierces d’installation pour les applications ont ainsi exécuté au moins une fois du code malveillant. Ce chiffre tombe à 0,08 % pour ceux ne se fournissant que dans la boutique officielle de Google.

Petite précision : Protect informe depuis l’année dernière les utilisateurs quand ils exécutent une application sur laquelle peu d’informations ont été collectées, avec l’éventuel risque que cela représente.

L’occasion bien sûr pour Google de rappeler que la meilleure sécurité s’obtient via son Store. Sans pour autant oublier que même si 0,08 % « seulement » des appareils y ont installé une PHA, ce n’est pas rien. Même en limitant à 500 millions d’appareils – soit moins d’un quart du parc Android total – le chiffre représente tout de même 400 000 smartphones et tablettes. On est loin d’un score anodin.

L’éditeur braque cependant ses projecteurs sur les éléments participant à la sécurité générale :

• Les programmes de récompenses financières pour les failles trouvées
• Les compétitions de sécurité (dont Mobile Pwn2Own)
• Les partenariats avec des chercheurs
• Les programmes spécifiques avec certains OEM (dont Android One),

Mais aussi l’analyse des applications envoyées pour validation au Store. À ce jour, cela représente 300 000 développeurs aidés sur un ensemble d’un million d’applications.

La fin du rapport fait le listing de toutes les principales familles de PHA, comme Chamois (l’une des principales en 2018 avec presque 200 millions d’installations), Snowfox (un faux SDK dédié à la publicité), Cosiloon (combattu grâce à une collaboration avec Avast), BreadSMS (11 millions d’installation, mais 98 % provenant du Play Store), ou encore View SDK (dédié à la fraude au clic sur les publicités).

Un combat spécifique contre les malwares préinstallés

Google signale un renforcement des tentatives de préinstallations des PHA (donc cette fois exclusivement non souhaitées). L’éditeur y voit trois raisons possibles.

D’abord, les pirates n’ont potentiellement qu’à circonvenir le constructeur ou n’importe quel acteur de la chaine pour disséminer en masse un code malveillant. Ensuite, un malware préinstallé permet d’autant plus facilement de placer d’autres charges virales en fonction du contexte et des objectifs. Enfin, certaines familles de PHA se servent de failles pour rooter l’appareil. Une méthode très efficace mais rendue plus complexe par les versions récentes d’Android.

Cette recrudescence a forcé Google à réagir, notamment à travers des informations envoyées aux développeurs. Une mise en garde particulière a été faite contre certains SDK vérolés, présentés comme pouvant résoudre bien des problèmes ou, plus simplement, des kits existants mais modifiés à des fins malveillantes et proposés sur des miroirs de téléchargement.

Il est plus difficile d’intervenir sur la chaine menant de la construction à l’utilisateur final. La situation est particulièrement visible dans certains gros marchés comme le Brésil et l’Inde. Au Brésil (quatrième plus gros marché Android), pas moins de quatre des dix PHA les plus courantes étaient préinstallées sur des appareils provenant d’un seul OEM. En Russie (cinquième marché), ce score grimpe même à 7 sur 10, démontrant le danger de la situation.

Ce problème a ses réponses spécifiques. Google a lancé en 2017 un programme dédié à l’analyse des images système, en tout cas celles provenant de constructeurs se servant des Play Services.

L’année dernière, le programme s’est davantage structuré et a pris un nom officiel : Build Test Suite. La BTS ressemble à la Compatibility Test Suite mais se focalise sur l’intégrité et la sécurité de l’image système. Selon Google, durant sa première année d’activité, elle a pu empêcher 242 images d’être déployées sur des appareils avant leur commercialisation, donc d'entrer dans l'écosystème applicatif.

La BTS a cependant deux limitations. Tout d'abord elle cherche l’ensemble des PHA connues, ce qui peut rapidement montrer ses limites au vu du foisonnement permanent dans ce domaine. Surtout, elle est optionnelle, uniquement proposée aux constructeurs souhaitant fournir les Play Services avec leur copie d’Android.

Le processus reste intéressant en ce qu’il a permis un dialogue avec les OEM et une analyse multipartite des causes. Des faiblesses ont été identifiées dans les processus, permettant selon Google une amélioration générale de la sécurité.

Du mieux également pour les correctifs, mais…

La sécurité globale sur la plateforme Android ne peut pas être résumée aux seuls malwares. Ces derniers ont, comme toujours, différents degrés d’efficacité et peuvent profiter de failles du système non colmatées pour s’y incruster profondément et dérober des données sans la moindre interaction nécessaire de l’utilisateur.

Selon Google, la situation s’améliore dans ce domaine : durant le quatrième trimestre 2018, le nombre d’appareils à avoir reçu une mise à jour de sécurité a grimpé de 84 % par rapport à la même période l’année précédente.

Un chiffre élevé mais ne reposant sur aucune valeur absolue. Et c’est sans doute parce que cette donnée serait beaucoup plus révélatrice de la situation actuelle que Google se contente d’un gros pourcentage. Une hausse si « spectaculaire » qu’elle pointe surtout une situation à laquelle il fallait remédier.

Google évoque une conjonction de facteurs dont le programme Android Enterprise Recommended (spécifique au monde professionnel avec des protections supplémentaires) et les révisions des accords avec les OEM.

Depuis octobre dernier par exemple, tout appareil sorti après le 1^er janvier 2018 et se vendant à au moins 100 000 exemplaires tombe sous la coupe d’obligations renforcées. La durée d’entretien logiciel minimale est passée de 18 à 24 mois. En outre, et surtout, le constructeur doit impérativement diffuser un minimum de quatre mises à jour de sécurité dans l’année. Plus spécifiquement, les OEM ont l’obligation de corriger les failles connues depuis plus de 90 jours.

On est loin du cas idéal bien sûr – 12, une par mois – mais le changement a représenté une nette amélioration de la situation, certains constructeurs ayant eu des politiques particulièrement aléatoires d’entretien. Bien entendu, les clients de smartphones plus haut de gamme ont des chances accrues d’avoir de vraies mises à jour mensuelles.

Ce processus plus fluide de diffusion des correctifs vient en partie d’un autre grand apport mis en avant par Google : Treble. Pour rappel, ce projet au long cours consiste à mieux séparer la base fixe d’Android de sa partie modifiable. Une isolation entrainant une mise à jour simplifiée du socle technique, les constructeurs sachant précisément quoi retoucher.

Cela étant, Treble ne s’applique qu’aux versions 8 et 9 d’Android, donc aux appareils relativement récents. Et c’est bien là que le bât blesse, tout particulièrement pour Pie. Car même aujourd’hui, six mois après les premières diffusions du système, il n’apparaît toujours pas dans les chiffres officiels de fragmentation d’Android fournis par Google. Traduction : il représente moins de 0,1 % des appareils se connectant au Play Store.

Sa part de marché reste donc négligeable alors que Google en vante régulièrement les mérites dans son bilan, décrivant par exemple « une myriade de super fonctionnalités de sécurité », comme une sandbox applicative renforcée et des API « durcies ».

Un exercice salutaire mais perfectible

Que retenir finalement de ce bilan de sécurité ? Que la situation générale s’améliore, mais seulement au terme d’un travail intense réalisé en interne et partenariat avec des chercheurs et les constructeurs eux-mêmes. La volonté de serrer la vis est évidente, après de nombreuses années où les fabricants étaient très (trop ?) libres dans leurs pratiques.

Mais si les efforts dans ce domaine sont louables, l’exercice de publication d’un rapport de sécurité est largement améliorable. Les données fournies par Google sont parcellaires, avec de nombreux pourcentages sans valeurs absolues, rendant difficile l’analyse réelle d’une situation déjà complexe à appréhender tant les variables sont nombreuses.

En fin de compte, le rapport de Google rappelle un peu trop les brochures commerciales, l’éditeur mettant souvent en lumière ses forces, tout particulièrement Android Pie. On ne sait pas très bien à vrai dire à qui s’adresse ce rapport, mais il gagnerait clairement dans ses prochaines éditions à être plus transparent et plus neutre dans son approche.

En outre, si la sécurité fait un bond avec chaque nouvelle version d’Android, l’immense parc des appareils est loin d’en profiter. Le fait que Pie représente moins de 0,1 % des connexions au Play Store malgré un lancement à l’automne dernier en dit long. Trop souvent les constructeurs réservent la dernière mouture à leurs téléphones moyen et haut de gamme, tout comme les évolutions majeures du système.

Du point de vue des OEM, on comprend pourquoi : proposer une nouvelle version d’Android réclame du temps et ne peut que retarder l’acte d’achat d’un nouveau produit. De fait, même si la sécurité générale augmente petit à petit, les meilleures défenses restent réservées aux clients d’appareils récents et d’un certain prix.

Les propres statistiques de Google – bien qu’elles n’aient pas été mises à jour depuis octobre – sont parlantes puisqu’un appareil sur deux environ est sous Android 6.0 ou une version antérieure. Or, Google suit un cycle « N-2 » pour ses correctifs de sécurité, Android 7.0 étant ainsi la mouture minimale à posséder pour en recevoir.

La moitié du parc n’est donc plus en capacité de colmater les vulnérabilités.