Ubuntu-fr

souen

Android question sécurité

Bonjour, Je ne sais pas où poster ça, donc je viens au café du coin.
Cela concerne Android et la sécurité. J'ai lu sur ce blog
un article qui m'interpelle. En effet, il parle de sécurité dans les applications
téléchargées et certaines mises à jours qui peuvent compromettre certaines données.
Mais j'ai l'impression qu'il mélange un peu les choses.
Est-ce qu'il y a, comme il le dit, véritablement un danger d'installer par exemple un nouveau
type de clavier qui prévient qu'il peut "de collecter tous les textes saisis, notamment les données personnelles et les numéros de carte bancaire, à l’exception des mots de passe.".
Il me semble que si c'était le cas, ces types d'applications seraient rapidement écartées et que toute
la communauté (comme avec gnu/linux) préviendrait de ne pas les installer. Non?
Si quelqu'un connaît bien le fonctionnement d'Android, ça serait sympa de m'éclairer

---

Nous ne voyons pas le monde comme il est. Nous le voyons comme nous sommes. Anaïs Nin

chicheng

Re : Android question sécurité

C'est indiqué sur la page de l'application les autorisation qu'elle nécessite (internet, gps, clavier, contenu carte mémoire...).

Si une application "nouveau clavier" doit avoir accès à internet, c'est que le développeur est  idiot ou alors ça craint.

Si les applications pourries ou malveillantes étaient écartées, le monde serait merveilleux. L'auteur de l'article est assez au courant sur ce genre de choses , c'est son boulo.

Dernière modification par chicheng (Le 23/09/2012, à 10:00)

Compte anonymisé

Re : Android question sécurité

Il y a déjà eu le cas de modules complémentaires de Firefox douteux par le passé, donc il n'y a pas de raison qu'Android soit épargné par les merdes ( même si est basé sur du libre )

Et vu sa popularité ( il est leader sur le marché des smartphones je crois ) cela n'ira pas en s'arrangeant

Dernière modification par Compte anonymisé (Le 23/09/2012, à 12:57)

gguillaume017

Re : Android question sécurité

Salut à tous,

Ce sujet m'interpelle, les questions sur la sécurité d'Android sont récurrentes en ce moment.
Tout d'abord, la sécurité dépend de la version d'Android que tu utilises, si tu utilises Jelly Bean par exemple, toutes les failles de sécurité connues sont comblées, l'entrée des virus et de code malveillant est donc limité. De plus, si ton appareil a quitté sa période de garantie et qu'il ne dispose pas d'une version récente d'Android (ex 2.3) il serait judicieux d'y installer une ROM d'Ice Cream Sandwich (ROM de Jelly Bean non stabilisées à ma connaissance). En rapellant tout de même qu'une l'installation d'une ROM n'est pour un public averti uniquement et qu'elle est susceptible de mal tourner si ton smartphone est trop peu puissant.
Les appareils de type Nexus sont les plus fiables car ils forment l'image de marque de Google dans la distribution d'Android. Il est donc préférable de se tourner vers ce type de produits.

Pour en venir à la sécurité des applications, depuis Android Jelly Bean (4.1) et l'apparition du Play Store en remplacement de l'Android Market, la sécurité a été renforcée de manière significative. Je m'explique : d'abord, une option fait son apparition, elle a pour but d'empêcher l'installation sur la machine de paquets/applications ne venant pas du Google Play Store. De plus, le Google Play Store, depuis 2 mois, à la sortie de Jelly Bean, voit sa sécurité renforcée, je vous laisse lire cet article traitant du sujet :
Sécurité
La sécurité des applications est mise en cause le 30 juillet 2010, lorsqu'il est découvert qu'une des applications de l'Android Market, Jackeey Wallpaper, peut envoyer des données confidentielles (numéros de téléphones, par exemple) à un site internet chinois35.
Le 1er août 2012, Google a annoncé un durcissement des règles de publication des applications pour faire face à des dérives ayant observées depuis plusieurs mois36.
Ces nouvelles règles ont pour but d'éviter la mise en ligne d'applications contenant des virus, des applications ayant un nom et/ou une icône trop proche des applications système (Google+, YouTube ...), des applications émettant des publicités dans les notifications ou rajoutant des raccourcis ou des favoris ou encore affichant des informations personnelles (carnet d'adresses ...) à l'insu de l'utilisateur37. Un autre de ces changements est l'obligation d'utiliser Google Checkout pour le payement in-app des applications38.
L'application de ces règles est immédiate pour les nouvelles applications et sous un délai de 30 jours pour les applications existantes sous peine de suppression définitive.

Google fait un travail assez surprenant maintenant qu'il intègre les marchés du téléphone et des tablettes pour sécuriser son système. Rappelons aussi que Android est plus facilement piratable de part son coté Open-source, heureusement, des gens intelligents comprennent que l’intérêt de l’open-source n'est pas de repérer des failles pour les exploiter mais de repérer des failles pour les signaler/combler.

Je terminerai en concluant par la chose suivante :
Si tu n'utilises que les applications venant d'éditeur sérieux et connus (en attendant que la politique de sécurité entreprise il y a 2 mois prenne pleinement effet), tels Gameloft, Google Inc, Rovio, EA Games il n'y aura aucun problème de sécurité concernant les applications. Enfin, l'installation d'un logiciel Antivirus tel Lookout ou Avast Antivirus permet de confirmer que les applications moins connues soient saines.

Dernière modification par gguillaume017 (Le 24/09/2012, à 22:25)

souen

Re : Android question sécurité

La sécurité des applications est mise en cause le 30 juillet 2010, lorsqu'il est découvert qu'une des applications de l'Android Market,
Jackeey Wallpaper, peut envoyer des données confidentielles (numéros de téléphones, par exemple) à un site internet chinois35.

...
Dans cet exemple, j'imagine qu'une fois la supercherie découverte, que l'application a été rapidement enlevée du market.
Pour les claviers que l'on veut installer il est indiqué qu'il "collecte tous les textes saisis, notamment les données personnelles et les numéros de carte bancaire, à l’exception des mots de passe."
(Et mon clavier par défaut a sûrement la même autorisation).
Mais si je ne dis pas de bêtise tous les claviers que je vais installer vont m'indiquer ce message (en tous cas ceux que j'ai essayés)
est-ce que ça voudrait dire alors que les développeurs de ces claviers enregistrent mes données bancaires?
Si c'est le cas, et ça serait grave, comment est-il possible qu'Android laisse sur leur market ce type d'applications s'installer qui sont très rependues?
Et il y aurait des millions d'utilisateurs qui se feraient piller leur compte??? Non?
C'est là que je ne parviens pas à comprendre...et j'imagine que je ne dois pas être le seul.

---

Nous ne voyons pas le monde comme il est. Nous le voyons comme nous sommes. Anaïs Nin

gguillaume017

Re : Android question sécurité

Pour ajouter des claviers, passe par les fonctions d'Android et non par des logiciels du Google Play Store. En effet, les logiciels du Google Play Store ont, pour certains, une licence qui leur est propre, et qui peut contenir des passages, comme celui que tu cites qui sont peu acceptables. Par contre, selon la version d'Android que tu utilises, tu peux ajouter des claviers directement depuis l'OS. D'ailleurs, privilégie les fonctionnalités intégrées dans Android et les produits Google, ne répondant qu'aux conditions d'utilisations de Google, ce qui limite les risques de licences/conditions non lues ou mal comprises.
De même, le Google Play Store, comme je l'ai déjà est en évolution. Par contre, ce qu'il est possible de faire, dans une démarche d'amélioration du système Google Play, c'est de signaler les méfaits de l'applications, qui s'opposent aux conditions du Play Store et éventuellement demander une explication sur sa présence, ce qui pourrait amener à sa suppression. Le meilleur moyen d'être en sécurité est encore de ne pas installer n'importe quoi !

souen

Re : Android question sécurité

Merci gguillaume017 pour tes explications et
ton éclairage sur la question

---

Nous ne voyons pas le monde comme il est. Nous le voyons comme nous sommes. Anaïs Nin

gguillaume017

Re : Android question sécurité

En voyant les pavés que j'ai écris j'ai l'impression de travailler pour Google oO !

souen

Re : Android question sécurité

Ah bon, tu ne travailles pas pour Google? 

---

Nous ne voyons pas le monde comme il est. Nous le voyons comme nous sommes. Anaïs Nin

gguillaume017

Re : Android question sécurité

En ce moment c'est plutôt les devoirs de 1ère S, je suis pas a l'etape boulot boulot
Ai-je répondu a l'ensemble de tes questions ?

souen

Re : Android question sécurité

J'en aurai encore pas mal mais je vais en rester là,
pour cette fois
Merci à toi

---

Nous ne voyons pas le monde comme il est. Nous le voyons comme nous sommes. Anaïs Nin

lawl

Re : Android question sécurité

faite gaffe quand même :
http://www.frandroid.com/actualites-gen … laxy-siii/

gguillaume017

Re : Android question sécurité

Problème relatif aux surcouches logicielles fournis pas Samsung. Ce type ne problème n'est pas recensé à l'heure actuelle sur les Nexus.

lawl

Re : Android question sécurité

Non c est bien a cause d une faille Android qui a été corrige il y a trois mois malheureusement certaine rom on été livre avec ce bug

Dernière modification par lawl (Le 28/09/2012, à 19:16)

gguillaume017

Re : Android question sécurité

Au dernières nouvelles, oui, la faille venait d'Android, mais cela ne change pas mes affirmations, les Nexus et Android 4.1.1 n'est pas affecté, d'où la nécessite d'avoir la dernière version d'un système d'exploitation.

maxpoulin64

Re : Android question sécurité

Juste pour ajouter, le message à propos de l'installation du clavier, ça ne vient pas de l'application, mais bien de l'OS Android. Pourquoi? Bah c'est simple, le clavier fournit un moyen d'entrée, et pourrait sans problèmes enregistrer les touches que tu appuies, étant donné que c'est lui qui qui s'occupe d'afficher le clavier virtuel et de générer les événements clavier. Généralement, les applications clavier du coup, essaient de demander le moins de permissions possible, entre-autre tous les claviers alternatifs que j'ai essayé, ne demandent pas l'accès à Internet, donc il est impossible que les informations se communiquent (ouf!). Faut savoir différencier les avertissements des applications et les avertissements de l'OS.

On retrouve une notification similaire lors de la connexion à un VPN depuis l'API VPN offerte aux applications. J'ai configuré mon OpenVPN, j'ai obtenu un gros message qui dis que l'application pourra avoir accès à tout mon trafic Internet et possiblement l'intercepter/modifier. Bah ouais, c'est normal, faut bien que le logiciel de VPN puisse faire son boulot quoi. Ça permet juste de mettre en garde certains utilisateurs qui s'y connaissent pas trop d'installer n'importe quoi parce que c'est écrit "Super Internet Booster Extra Pro Plus Super", alors que j'irais même pas voir la fiche d'une application avec un tel nom.

Pour la sécurité, c'est comme sur un PC, faut pas installer n'importe quoi. Même, sur Android, c'est mieux, parce que l'application doit annoncer explicitement les permissions qu'elle nécessite, sinon elle n'y a pas accès. (Certaines ROM permettent aussi d'enlever certaines autorisations à des applications manuellement. Par exemple, j'ai enlevé les permissions GPS de l'application Facebook, alors l'application est kill aussitôt qu'elle essaie d'avoir ma position à mon insu!). Les permissions à surveiller sont entre-autre l'accès aux contacts, l'accès à Internet, et l'accès aux fonctions de téléphone/SMS (qui permettraient d'appeler des numéros surtaxés). D'autres permissions à regarder pour les applications douteuses serait l'accès à la mémoire de stockage (Carte SD)

Et comme tous les OS, il arrive qu'il y ait certains oublis à certain endroits, comme on a pu le voir avec la surcouche TouchWiz de Samsung. En ayant la dernière version d'Android sur tous les téléphones de la maison, aucun d'eux n'est vulnérable. Ça affiche le numéro dans l'application "Téléphone", mais ça ne fait rien ^^