« 50% des appareils sous Android sont vulnérables » écrit Jon Oberheide sur son blog Duo Security. Un constat effectué grâce à un outil d’inventaire de failles développé précisément par Duo Security et baptisé X-Ray. Cette affirmation serait le résultat d’une estimation statistique effectuée sur le retour de plus de 20 000 appareils jusqu’à présent. 50% d’un marché qui compterait près de 500 millions de noyaux en service ou ayant été en service, cela fait tout de même 250 millions de trous dans la nature. Bien plus qu’à Blackburn, Lancashire*.
Le balayage s’achève bien sûr avec un diagnostic guère reluisant, puisque les correctifs poussés par les éditeurs sont généralement d’une lenteur très sénatoriale, voir totalement absents. Ce qui permet aux développeurs de Duo Security de conseiller aux usagers de changer de ROM… à tout hasard la très répandue et très célèbre CyanogenMod. 250 millions de téléphones portables et de tablettes tactiles rootées, en voilà un beau marché pour les vendeurs d’antivirus, firewalls et autres outils de « protection ».
Reste que X-Ray n’est pas un véritable outil « d’assessement », avec mise à jour dynamique de ses bases de détection. C’est un programme figé qui ne vérifie la présence que d’une poignée de failles exploitables connues. Celles-là même, d’ailleurs, qui sont nécessaires pour « rooter » une tablette ou un téléphone Android dans le but d’y installer le Cyanogen recommandé. Il y a là un hiatus qui semble avoir échappé aux auteurs… a moins qu’il s’agisse tout simplement d’humour geek. Les véritables attaques que subissent les usagers Android (ou IOS d’ailleurs) sont plus des attaques en vol d’information qui sont possibles « by design » et ne nécessitent aucune exploitation.
* Ndlc Note de la correctrice : … qui n’en compte que 4000 si l’on en croit les Scarabées. Mais il faut avouer qu’à l’époque où les Fantastic Four chantaient ça, les ordinateurs étaient un peu moins nombreux qu’aujourd’hui. Et peut-être ne parlaient-ils pas d’informatique…