• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Android n'a jamais été aussi sûr

Jean-Jacques Quisquater et Charles Cuvelliez

Publié le 15 avril 2019 à 15:42 - Mis à jour le 12 décembre 2024 à 23:43

Android

Android

Reuters

Le Quotidien Numérique

11 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    La future plus grande centrale thermique du Burkina Faso obtient un soutien de 52 millions d'euros

  • 2

    Pourquoi Xavier Niel continue d’étendre son empire télécom dans le monde

  • 3

    Pourquoi l’industrie automobile française procède à une saignée sociale chez ses ingénieurs

  • 4

    Carole Delga : « Je préfère un TGV qu’une Micheline sur les rails »

  • 5

    Énergie : l'exécutif songe à s'attaquer au « tarif agent » des salariés d'EDF et Engie

  • 6

    Déficit de la Sécu : Macron missionne quatre experts pour repenser le financement de notre modèle social

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
Android, le système d'exploitation mobile de Google, équipe des milliards de smartphones à travers la planète. En matière de cybersécurité, c'est un enjeu vital pour la marque. Par Jean-Jacques Quisquater et Charles Cuvelliez, Ecole Polytechnique de Louvain, Université de Louvain.

Android équipe plusieurs milliards de smartphones dans le monde. Il suffirait d'une cyberattaque, un rançongiciel, qui exploite une vulnérabilité passée inaperçue pour créer un choc systémique dont Google et le monde ne se remettraient pas. Google a justement publié son rapport sur l'état de la menace sur Android. Il faut l'admettre : Google, avec Android, fait du bon boulot. On est toujours en-dessous du seuil de 1 % quelle que soit la menace, la contamination, la vulnérabilité mais à l'échelle des milliards d'Android, cela reste tout de même des millions d'appareils infectés. Google ne peut donc jamais se reposer sur ses lauriers. Atteindre le zéro-défaut, c'est vraiment concret, ici.

Google Protect

A la base de cette réussite, on a Google Play Protect (GPP). Démarré en 2017, il est devenu la pièce maîtresse de l'écosystème sécuritaire de Google. GPP, activé par défaut, scanne une fois par jour chaque smartphone Android à la recherche d'apps potentiellement dangereuses, les PHA (Potentially Harmful Software). Les app candidates à être hébergées sur Play Store, le magasin à app d'Android, passent aussi par le scan GPP et si la vôtre est détectée PHA, elle ne passera pas la rampe. Même les images systèmes Android qui vont être déployées sur une marque de smartphone vont faire l'objet d'un scan car les pirates avaient trouvé le moyen de contourner GPP, en s'arrangeant pour pré-installer, à l'insu du fabricant, des app PHA. C'est ce qui vient de se passer avec Xiaomi, le troisième fabricant mondial de smartphones (8% de parts de marchés) qui cherche à s'implanter en Europe et son app Guard Provider... qui est censé détecter des malwares ! Il faut le faire car cela exige de se faufiler dans la chaîne logistique qui mène de la fabrication du smartphone à sa vente au détail. Mais ces dernières sont tellement multiformes qu'à un bout de la chaîne, on n'a pas de vision claire de tous les sous-traitants à l'autre bout de la chaîne et ce qui s'y trafique. Et il est aussi fréquent que le dernier maillon fasse confiance au précédent sans s'occuper des autres, à tort, et ainsi de suite ...

PHA

Les PHA ou Potentially Harmful Application ne sont pas tous des malwares. Elles ne sont que « potentiellement » dangereuses pour l'utilisateur, ses données ou l'appareil. Il s'agit d'applications qui, sans raison, diminuent le niveau de protection des smartphones, s'octroient un niveau administrateur avec ou sans consentement de l'utilisateur (ce dernier peut toutefois passer outre). En 2018, lit-on dans ce rapport, 0,11 % des applications téléchargées en dehors de Play Store étaient des PHA (Play Store interdit tout simplement leur mise à disposition via son magasin). Il n'y a pas que les PHA. Il y a aussi les Mobile Unwanted Softwares. Ce ne sont pas des malwares mais des applications qui fouinent votre appareil. Ils collectent sans le consentement de l'utilisateur, le numéro de téléphone, l'adresse email à laquelle le mobile est rattaché, une information globale sur les app installées, quels sont les comptes tiers installés, pas forcément le compte Google de base. Ces logiciels sont aussi interdits sur Play Store mais il existe de plus en plus de plateformes alternatives où on peut les télécharger. Depuis que Google a commencé à avertir les utilisateurs sur ces fouines, le nombre de tentatives d'installation de ces app de ce type est passé de 2,09 % à 0,75 % en 2018.

On apprend qu'en 2018, Google a placé en statut PHA les app à clic, qui, à l'insu de l'utilisateur, se transformaient en machine à cliquer (les pub). On peut le comprendre : ces app à clic mettent à mal le modèle publicitaire de Google qui, ainsi, peut démontrer aux annonceurs qu'il poursuit la fraude.

Que font ces PHA : ce sont des portes dérobées pour avoir accès au mobile depuis l'extérieur, ce sont des chevaux de Troyes, ce sont des app de téléchargement d'autres PHA. Il y a aussi les app qui envoient des SMS surfacturés et celles qui demandent un accès administrateur à Android ou des privilèges supérieurs à ce qu'elles ont besoin. Il y a enfin des spyware ou l'hameçonnage.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

La menace globale

La tendance de 2018 a été l'augmentation du nombre d'applications PHA préinstallées qui n'ont donc pas pu être détectées par GPP mais aussi des mises à jour d'app effectuées à partir de plateformes peu sûres. Dans l'un et l'autre cas, l'utilisateur final est dans l'impossibilité de se rendre compte du problème. Les hackers, pour arriver à leur fin, ne doivent, eux, tromper qu'un seul des innombrables sous-traitants dans la fabrication d'un smartphone. Ces app préinstallées s'octroient alors des privilèges pour s'auto-protéger. Ils empêchent les utilisateurs de les désinstaller. Pour tenter d'y mettre fin, Google a dû lancer la certification Android : chaque appareil mis sur le marché passe par un scanning à la GPP pour s'assurer que toutes les app préinstallées sont sûres, elles aussi. La certification est refusée tant que le fabricant n'enlève pas ces app ou ne corrige pas des problèmes de sécurité plus génériques trouvés dans la foulée.

Autre voie de pénétration des menaces qui contournent GPP, les SDK ou Software Development Kits : il s'agit d'environnements de développement qu'un développeur a téléchargés et utilise en toute innocence mais qui ne sont pas si innocents. A chaque app développée, le SDK ajoute à l'insu du développeur ses propres lignes de code, souvent une porte d'entrée dérobée. Des centaines d'apps en ont été victimes.

Les cinq premiers marchés analysés

Google a aussi analysé les 5 principaux marchés de Google Play : Inde, Indonésie, Brésil, Russie et Etats-Unis. Les trois premiers ont enregistré des progrès : Android y est devenu plus sûr. La Russie est restée stationnaire mais les Etats-Unis ont vu leurs résultats se dégrader. En Inde, le plus gros marché d'Android, 0,65 % des mobiles étaient affectés par un PHA (une réduction de 35 % par rapport à l'année précédente). Les Etats-Unis, le deuxième marché d'Android, ont vu la proportion de mobiles affectés par les PHA monter de 0,4 % à 0,5 % mais, explique Google, la raison tient aux app à clic, désormais considérées comme PHA. Aux Etats-Unis toujours, 8 PHA sur le top 10 étaient bel et bien voulues et acceptées en connaissance de cause par les utilisateurs ou, en tout cas, ne les impactaient pas. Quatre d'entre eux donnaient des privilèges d'administrateurs aux utilisateurs, les 4 autres étaient des app à clic. Seul un PHA a été découvert sous la forme d'une app préinstallée venant de surcroit d'un seul type de mobile distribué par un unique opérateur. La chaine logistique est donc, semble-t-il, moins compromise aux Etats-Unis.

Curieusement, le Brésil est le pays le moins frappé par les PHA puisque seuls 0,23 % des mobiles de ce pays sont affectés. Google pointe cependant que, tout comme en Inde, les infections proviennent d'app préinstallées et donc d'un manque d'intégrité de la chaîne logistique. 4 PHA sur le top 10 provenaient d'un fabricant local qui les avait préinstallés. Ces PHA se présentaient comme des outils de gestion des polices de caractères, d'outils de recherche rapide ou de réglage du mobile. Dans le top 10, deux chevaux de Troie se cachaient derrière une app pour caméra et une app pour flash.

Quant à la Russie, même si son taux d'infection est resté stable, elle est aussi caractérisée par 7 PHA sur le top 10 qui venaient d'applications préinstallées. Certains PHA étaient connus depuis 2016 mais cela tient à la longévité plus grande des mobiles là-bas. On les remplace moins souvent....

Beaux progrès d'Androïd 8 et 9

Androïd 8 et 9, les dernières versions du système d'exploitation, ont fait des progrès dans la prévention des PHA : le taux de prévalence se monte à 0,19 % et 0,18 % alors que les versions précédentes, Lollipop montait à 0,65 %, Marshmallow à 0,55 %, Nougat 0,29 % . On apprend que les équipes de développement ont pris soin de rendre ces versions de Android résistantes à la montée en privilège. C'est cette dernière qui permet aux PHA d'être persistant sur les mobiles ou de résister aux tentatives de désinstallation.

Après, il est intéressant de comparer le taux d'installation de PHA en fonction de son origine, Google Play ou non. En 2018, seuls 0,04 % des app installées depuis Google Play étaient PHA contre 0,92 % si elles sont installées en dehors de Google Play. Comment expliquer cette différence ? Sur Google Play, les app qui manifestent un comportement PHA peuvent être enlevées. En dehors, sur des plateformes que Google ne contrôle pas, ce n'est pas le cas. Ceci dit, Google Play Protect joue alors son rôle et peut stopper jusqu'à 73 % des app téléchargées en dehors de Google Play dès qu'elles manifestent leur comportement PHA. 27 % passent encore mais ce sont des app qui n'ont pas encore été détectées comme telles à temps. Là aussi, les progrès sont notables par rapport à 2016 puisque les chiffres se montaient à 59 % et 41 %.

Ceci dit, que font ces PHA ? Dans Google Play, plus de la moitié sont des fraudes au clic (54,9 % ou 0,0023 % de toutes les applications installées), mais ce n'est que depuis 2018 que ces app à clic sont considérées comme des PHA. Après, on trouve plus classiquement des chevaux de Troie pour 16 % des cas, de la fraude au SMS pour 6,8 % des cas.

Quand on est en dehors de Google Play, les backdoors représentent 28 % (0,26 % des app installées hors Play Store) , les chevaux de Troie représentent 25,1 % (0,23 % de toutes les app installées en dehors de Google Play), les téléchargeurs de PHA, 22 % (0,20 % de toutes les app installées en dehors de Google Play), la fraude au clic 13 % (0,12%).

Pourquoi tombe-t-on dans le piège ? On se laisse avoir : ces apps se présentent comme attrayantes, pour jouer de la musique, visionner des vidéos mais en arrière-plan une fraude au clic se produit sans que le développeur ou l'utilisateur le sache.

Au vu de ces résultats, rendons à César ce qui est à César : Android est un des systèmes d'exploitation les plus sûrs aujourd'hui. Google n'a pas le choix non plus. Mais tout est-il détecté ? Le projet Taj Mahal a montré l'existence de bombes à retardement, des malwares stockés dans des machines, qui dorment longtemps avant d'être activés, pour n'avoir pas à contourner, le moment venu, les outils de détection pour pénétrer la machine lorsqu'ils sont devenus trop efficaces.

Pour en savoir plus :

À lire également

  • Google fait appel de l'amende de 4,3 milliards d'euros pour Android
  • Bitcoin : Google va interdire le minage sous Android
  • Google utilise un mouchard pour géolocaliser les utilisateurs Android
  • ORLM : Google mise sur l'intelligence artificielle pour les smartphones Android
  • Android Security & Privacy 2018 Year In Review, March 2019 Celebrating 10 years of Android
  • Taj Mahal Project:
  • Vulnerability in Xiaomi Pre-Installed Security App, April 4, 2019

Jean-Jacques Quisquater et Charles Cuvelliez

Sur le même sujet

Fabrice Gourgeonnet

OPINION. « Sur la route de la transition électrique, le défi du pouvoir d'achat »

De la guerre en Ukraine au blocage du détroit d’Ormuz : chaque crise internationale nous rappelle la même réalité. Une partie de notre pouvoir d'achat reste dépendante des fluctuations du prix du pétrole.

Idées & Débats
Jean-Christian Kipp

OPINION. « Révolte iranienne : il eût suffi qu’un uniforme change de camp »

La révolution iranienne n’a pas eu lieu. Des importantes manifestations qui ont embrasé le pays depuis le 28 décembre 2025 et de l’intervention militaire israélo-américaine déclenchée le 28 février 2026, résultent non pas l’effondrement du régime des Mollah mais son renforcement et une répression durcie. Ce constat brutal mérite que l’on s’y arrête, sans complaisance.

Idées & Débats
François Rousseau

OPINION. « Et si l'un des meilleurs choix d'avenir pour les jeunes était l'industrie ? »

Alors que l’année scolaire vient de se terminer, des milliers d'étudiants s'apprêtent à franchir une étape décisive, qu'il s'agisse de trouver un stage ou de décrocher leur premier emploi. C'est un moment charnière, souvent anxiogène, où les choix d'orientation se cristallisent, et où les préjugés peuvent peser lourd.

Idées & Débats
Ruchir Budhwar

OPINION. « Aérospatial : l’IA au cœur d’une nouvelle trajectoire industrielle »

Idées & Débats
Guillaume Chiche

OPINION. « Investissements étrangers : après l’attractivité, l’exécution »

Les annonces d’investissements étrangers constituent une excellente nouvelle pour la France. Mais être choisie ne suffit plus.  Elle a besoin que les décisions d’investissement deviennent des projets livrés, des emplois créés et de nouvelles infrastructures qui contribuent durablement au développement des territoires.

Idées & Débats
Serge Hanoca

OPINION. « Business France, l’illusion d’une reconquête sans moyens »

Réarmement économique ou désarmement budgétaire ? Un droit de réponse de Serge Hanoca, Collaborateur de Business France et secrétaire du CSE (*)

Idées & Débats
Hamid Enayat

OPINION. « La véritable peur de l'Iran n'est pas la guerre... C'est la paix »

Idées & Débats
Charles Cuvelliez

OPINION. « Les drones ont ouvert un nouveau chapitre de la guerre hybride  »

D’après l’IISS, l’International Institute for Strategic Studies, un think tank basé à Londres spécialisé dans l’analyse des questions de sécurité internationale, de défense et de géopolitique, qui s’est livré à une véritable enquête policière, le Kremlin a bien orchestré une campagne de drones au-dessus de l’Europe.

Idées & Débats