Android sert-il de parafoudre ? Probablement un peu. Car au même moment, si l’on se penche sur la liste des failles publiées sur Bugtraq relative à la plateforme Webkit, l’on se rend compte qu’il ne doit pas falloir chercher longtemps pour trouver un exploit fonctionnel sur une plateforme X ou Y. 331 CVE recensés depuis 2005, dont un nombre élevé de failles non corrigées et exploitables. Or, Webkit est utilisé par une multitude de plateformes, à commencer par IOS. Ce qui ne veut pas dire estiment les spécialistes de NSS labs, qu’IOS soit plus vulnérable qu’une autre plateforme et « impropre à la consommation en entreprise ». Sophisme ou analyse de risques ?
Qui croire ? Tout le monde et personne. A la question « une attaque de mon mobile est-elle possible », la réponse est « oui, indiscutablement ». A celle « faut-il acheter un antivirus pour appareil mobile », les avis commencent à diverger. L’installation de programmes de sécurité a de fortes chances de poser des problèmes de ressources et d’ergonomie, sans oublier le fait qu’un A.V. constitue lui aussi une surface d’attaque certaine et bénéficie « par définition et par construction » de procédures d’audit pas toujours aussi poussées que l’on pourrait le souhaiter. S’il est possible de tromper la quasi-totalité des antivirus à l’occasion de concours tels que Iawacs, il n’y a pas de raison que les protections pour smartphones échappent à cette règle.
« Peut-on sous-traiter la sécurité de nos terminaux aux opérateurs télécom » ? Là encore, personne ne peut répondre par l’affirmative. Bien sûr, chaque opérateur peut effectuer un filtrage minimaliste… mais peut-il filtrer toutes les navigations Web ? En possède-t-il d’ailleurs le droit ? Utilisé en mode ISP, sera-t-il en état d’offrir quelque chose de plus qu’une fonction antivirus/dlp dont on ne connaît pas nécessairement l’efficacité et le niveau de sécurité ? Et quand bien même les Telco se chargeraient-ils de ce travail de salubrité que les plateformes ne seraient pas moins vulnérables. Aucun opérateur, par exemple, n’accepte de « pusher » les correctifs d’un éditeur de plateforme lorsqu’une faille a été détectée : ce serait donner carte blanche à une entreprise de droit privée, étrangère de surcroît, sur une infrastructure Scada d’envergure nationale. Entre la sécurité d’Etat fantasmée et l’insécurité réelle quotidienne, le choix ne tient pas compte de l’utilisateur final.
Mais si l’on demande « cette attaque est-elle probable », il est difficile d’être aussi catégorique. En premier lieu, parce que les canaux d’attaque sont réduits : navigateur, mail, Bluetooth pour les plus paranoïaques. Parce que, aussi, l’interactivité est faible avec l’éventuel « collecteur d’informations ». Pourquoi, en effet, aller chercher à r00ter le tout dernier Samsung ou les armées d’iPhones alors qu’il existe de par le monde des millions d’Internet Explorer non patchés fonctionnant sur les systèmes susceptibles de contenir bien plus d’informations qu’un terminal mobile, et raccordés à une infrastructure réseau considérablement plus rapide que le plus rapide des « hauts débit » des marchands d’abonnements illimités ?