Android équipe plusieurs milliards de smartphones dans le monde. Il suffirait d'une cyberattaque, un rançongiciel, qui exploite une vulnérabilité passée inaperçue pour créer un choc systémique dont Google et le monde ne se remettraient pas. Google a justement publié son rapport sur l'état de la menace sur Android. Il faut l'admettre : Google, avec Android, fait du bon boulot. On est toujours en-dessous du seuil de 1 % quelle que soit la menace, la contamination, la vulnérabilité mais à l'échelle des milliards d'Android, cela reste tout de même des millions d'appareils infectés. Google ne peut donc jamais se reposer sur ses lauriers. Atteindre le zéro-défaut, c'est vraiment concret, ici.

Google Protect

A la base de cette réussite, on a Google Play Protect (GPP). Démarré en 2017, il est devenu la pièce maîtresse de l'écosystème sécuritaire de Google. GPP, activé par défaut, scanne une fois par jour chaque smartphone Android à la recherche d'apps potentiellement dangereuses, les PHA (Potentially Harmful Software). Les app candidates à être hébergées sur Play Store, le magasin à app d'Android, passent aussi par le scan GPP et si la vôtre est détectée PHA, elle ne passera pas la rampe. Même les images systèmes Android qui vont être déployées sur une marque de smartphone vont faire l'objet d'un scan car les pirates avaient trouvé le moyen de contourner GPP, en s'arrangeant pour pré-installer, à l'insu du fabricant, des app PHA. C'est ce qui vient de se passer avec Xiaomi, le troisième fabricant mondial de smartphones (8% de parts de marchés) qui cherche à s'implanter en Europe et son app Guard Provider... qui est censé détecter des malwares ! Il faut le faire car cela exige de se faufiler dans la chaîne logistique qui mène de la fabrication du smartphone à sa vente au détail. Mais ces dernières sont tellement multiformes qu'à un bout de la chaîne, on n'a pas de vision claire de tous les sous-traitants à l'autre bout de la chaîne et ce qui s'y trafique. Et il est aussi fréquent que le dernier maillon fasse confiance au précédent sans s'occuper des autres, à tort, et ainsi de suite ...

PHA

Les PHA ou Potentially Harmful Application ne sont pas tous des malwares. Elles ne sont que « potentiellement » dangereuses pour l'utilisateur, ses données ou l'appareil. Il s'agit d'applications qui, sans raison, diminuent le niveau de protection des smartphones, s'octroient un niveau administrateur avec ou sans consentement de l'utilisateur (ce dernier peut toutefois passer outre). En 2018, lit-on dans ce rapport, 0,11 % des applications téléchargées en dehors de Play Store étaient des PHA (Play Store interdit tout simplement leur mise à disposition via son magasin). Il n'y a pas que les PHA. Il y a aussi les Mobile Unwanted Softwares. Ce ne sont pas des malwares mais des applications qui fouinent votre appareil. Ils collectent sans le consentement de l'utilisateur, le numéro de téléphone, l'adresse email à laquelle le mobile est rattaché, une information globale sur les app installées, quels sont les comptes tiers installés, pas forcément le compte Google de base. Ces logiciels sont aussi interdits sur Play Store mais il existe de plus en plus de plateformes alternatives où on peut les télécharger. Depuis que Google a commencé à avertir les utilisateurs sur ces fouines, le nombre de tentatives d'installation de ces app de ce type est passé de 2,09 % à 0,75 % en 2018.

On apprend qu'en 2018, Google a placé en statut PHA les app à clic, qui, à l'insu de l'utilisateur, se transformaient en machine à cliquer (les pub). On peut le comprendre : ces app à clic mettent à mal le modèle publicitaire de Google qui, ainsi, peut démontrer aux annonceurs qu'il poursuit la fraude.

Que font ces PHA : ce sont des portes dérobées pour avoir accès au mobile depuis l'extérieur, ce sont des chevaux de Troyes, ce sont des app de téléchargement d'autres PHA. Il y a aussi les app qui envoient des SMS surfacturés et celles qui demandent un accès administrateur à Android ou des privilèges supérieurs à ce qu'elles ont besoin. Il y a enfin des spyware ou l'hameçonnage.

La menace globale

La tendance de 2018 a été l'augmentation du nombre d'applications PHA préinstallées qui n'ont donc pas pu être détectées par GPP mais aussi des mises à jour d'app effectuées à partir de plateformes peu sûres. Dans l'un et l'autre cas, l'utilisateur final est dans l'impossibilité de se rendre compte du problème. Les hackers, pour arriver à leur fin, ne doivent, eux, tromper qu'un seul des innombrables sous-traitants dans la fabrication d'un smartphone. Ces app préinstallées s'octroient alors des privilèges pour s'auto-protéger. Ils empêchent les utilisateurs de les désinstaller. Pour tenter d'y mettre fin, Google a dû lancer la certification Android : chaque appareil mis sur le marché passe par un scanning à la GPP pour s'assurer que toutes les app préinstallées sont sûres, elles aussi. La certification est refusée tant que le fabricant n'enlève pas ces app ou ne corrige pas des problèmes de sécurité plus génériques trouvés dans la foulée.

Autre voie de pénétration des menaces qui contournent GPP, les SDK ou Software Development Kits : il s'agit d'environnements de développement qu'un développeur a téléchargés et utilise en toute innocence mais qui ne sont pas si innocents. A chaque app développée, le SDK ajoute à l'insu du développeur ses propres lignes de code, souvent une porte d'entrée dérobée. Des centaines d'apps en ont été victimes.

Les cinq premiers marchés analysés

Google a aussi analysé les 5 principaux marchés de Google Play : Inde, Indonésie, Brésil, Russie et Etats-Unis. Les trois premiers ont enregistré des progrès : Android y est devenu plus sûr. La Russie est restée stationnaire mais les Etats-Unis ont vu leurs résultats se dégrader. En Inde, le plus gros marché d'Android, 0,65 % des mobiles étaient affectés par un PHA (une réduction de 35 % par rapport à l'année précédente). Les Etats-Unis, le deuxième marché d'Android, ont vu la proportion de mobiles affectés par les PHA monter de 0,4 % à 0,5 % mais, explique Google, la raison tient aux app à clic, désormais considérées comme PHA. Aux Etats-Unis toujours, 8 PHA sur le top 10 étaient bel et bien voulues et acceptées en connaissance de cause par les utilisateurs ou, en tout cas, ne les impactaient pas. Quatre d'entre eux donnaient des privilèges d'administrateurs aux utilisateurs, les 4 autres étaient des app à clic. Seul un PHA a été découvert sous la forme d'une app préinstallée venant de surcroit d'un seul type de mobile distribué par un unique opérateur. La chaine logistique est donc, semble-t-il, moins compromise aux Etats-Unis.

Curieusement, le Brésil est le pays le moins frappé par les PHA puisque seuls 0,23 % des mobiles de ce pays sont affectés. Google pointe cependant que, tout comme en Inde, les infections proviennent d'app préinstallées et donc d'un manque d'intégrité de la chaîne logistique. 4 PHA sur le top 10 provenaient d'un fabricant local qui les avait préinstallés. Ces PHA se présentaient comme des outils de gestion des polices de caractères, d'outils de recherche rapide ou de réglage du mobile. Dans le top 10, deux chevaux de Troie se cachaient derrière une app pour caméra et une app pour flash.

Quant à la Russie, même si son taux d'infection est resté stable, elle est aussi caractérisée par 7 PHA sur le top 10 qui venaient d'applications préinstallées. Certains PHA étaient connus depuis 2016 mais cela tient à la longévité plus grande des mobiles là-bas. On les remplace moins souvent....

Beaux progrès d'Androïd 8 et 9

Androïd 8 et 9, les dernières versions du système d'exploitation, ont fait des progrès dans la prévention des PHA : le taux de prévalence se monte à 0,19 % et 0,18 % alors que les versions précédentes, Lollipop montait à 0,65 %, Marshmallow à 0,55 %, Nougat 0,29 % . On apprend que les équipes de développement ont pris soin de rendre ces versions de Android résistantes à la montée en privilège. C'est cette dernière qui permet aux PHA d'être persistant sur les mobiles ou de résister aux tentatives de désinstallation.

Après, il est intéressant de comparer le taux d'installation de PHA en fonction de son origine, Google Play ou non. En 2018, seuls 0,04 % des app installées depuis Google Play étaient PHA contre 0,92 % si elles sont installées en dehors de Google Play. Comment expliquer cette différence ? Sur Google Play, les app qui manifestent un comportement PHA peuvent être enlevées. En dehors, sur des plateformes que Google ne contrôle pas, ce n'est pas le cas. Ceci dit, Google Play Protect joue alors son rôle et peut stopper jusqu'à 73 % des app téléchargées en dehors de Google Play dès qu'elles manifestent leur comportement PHA. 27 % passent encore mais ce sont des app qui n'ont pas encore été détectées comme telles à temps. Là aussi, les progrès sont notables par rapport à 2016 puisque les chiffres se montaient à 59 % et 41 %.

Ceci dit, que font ces PHA ? Dans Google Play, plus de la moitié sont des fraudes au clic (54,9 % ou 0,0023 % de toutes les applications installées), mais ce n'est que depuis 2018 que ces app à clic sont considérées comme des PHA. Après, on trouve plus classiquement des chevaux de Troie pour 16 % des cas, de la fraude au SMS pour 6,8 % des cas.

Quand on est en dehors de Google Play, les backdoors représentent 28 % (0,26 % des app installées hors Play Store) , les chevaux de Troie représentent 25,1 % (0,23 % de toutes les app installées en dehors de Google Play), les téléchargeurs de PHA, 22 % (0,20 % de toutes les app installées en dehors de Google Play), la fraude au clic 13 % (0,12%).

Pourquoi tombe-t-on dans le piège ? On se laisse avoir : ces apps se présentent comme attrayantes, pour jouer de la musique, visionner des vidéos mais en arrière-plan une fraude au clic se produit sans que le développeur ou l'utilisateur le sache.

Au vu de ces résultats, rendons à César ce qui est à César : Android est un des systèmes d'exploitation les plus sûrs aujourd'hui. Google n'a pas le choix non plus. Mais tout est-il détecté ? Le projet Taj Mahal a montré l'existence de bombes à retardement, des malwares stockés dans des machines, qui dorment longtemps avant d'être activés, pour n'avoir pas à contourner, le moment venu, les outils de détection pour pénétrer la machine lorsqu'ils sont devenus trop efficaces.

Pour en savoir plus :

• Android Security & Privacy 2018 Year In Review, March 2019 Celebrating 10 years of Android
• Taj Mahal Project:
• Vulnerability in Xiaomi Pre-Installed Security App, April 4, 2019