Une série de failles dans le navigateur Chrome fait l’objet d’un bulletin important et pousse à la mise à jour vers l’édition 23.0.1271.64. A noter que cette mise à jour intègre également le dernier correctif Adobe.
Perfidement, Bit9 en profite pour publier une étude laissant entendre que 25 % (soit près de 100 000) applications Android sur Google Play présenteraient des risques de sécurité. Chiffres à prendre avec des pincettes et sujet à interprétation. La vision optimiste d’un tel chiffre pourrait également dire « 75% des applications disponibles sur Play sont fiables »… sur de telles assertions, aucun responsable de développement n’oserait mettre sa tête sur le billot.
Les « vulnérabilités », ou plus exactement les risques de fuites d’informations et autres indiscrétions, sont celles dénoncées depuis longtemps par les experts sécurité spécialistes du Byod : Permissions trop élevées, géolocalisation quasi systématique dans 42% des programmes téléchargés –mais pourquoi un papier-peint devrait-il récupérer les données GPS du mobile, s’étonne le rapport-, près d’un tiers accèdent au numéro de téléphone voir à l’agenda de l’usager, 26% s’arrogent un accès plus ou moins direct aux données utilisateur personnelles et au courriel notamment.
F-Secure, de son côté, publie son bulletin trimestriel d’analyse des risques et menaces dans le monde de la mobilité, édition Q3 2012. Et sans surprise, c’est Android qui décroche la première place, avec plus de 51 000 menaces uniques, malgré la mise en place par Google, entre temps, d’une politique de filtrage automatique baptisées « Bouncer ». Depuis la mise en place de ce filtre, l’éditeur prétend avoir immédiatement réduit de 40 % le nombre d’appliquettes malsaines de son catalogue.
Si la récente sortie d’Android 4.1 « Jellybean » pourrait améliorer la situation compte tenu du nombre de mécanismes de sécurité ajoutés au noyau, la persistance des menaces n’est pas prête de diminuer. En effet, la proportion de terminaux, téléphones ou tablettes, capable d’être mises à jour sans « rootage » de l’appareil est encore très faible en regard du parc de terminaux en circulation.