Diverses lectures emplies de tensions et bouillonnant d’avis parfois contradictoires ont agité, cette semaine, la scène sécurité autour des smartphones. Provenant des éditeurs d’antivirus notamment. Ainsi, ces deux articles publiés sur le blog Kaspersky, l’un intitulé « voler des appliquettes, y injecter des suppléments », et l’autre « Des Troyens SMS dans le monde entier ». En France, la mailing list de l’Ossir s’enflamme sur le sujet : quelle est la réalité de la menace virale sur les smartphones ? A qui la faute ? Comment diminuer les risques ? Avec quel sérieux les plateformes utilisées sont-elles construites ?
Sans aller jusqu’à soupçonner l’omniprésence d’applications d’espionnage telle que celle analysée la semaine dernière par Treve, membre du forum XDA-Developers, il faut bien admettre que le niveau d’information sur les risques encourus, offert aux usagers est généralement très bas.
L’origine de cette situation ? Principalement les conflits d’intérêts.
Intérêts des opérateurs qui voient d’un bon œil croître les volumes d’information sur leurs réseaux grâce à l’interconnexion entre le cyber-monde et le domaine de la téléphonie cellulaire.
Intérêt des fournisseurs de matériel qui tentent à tout prix de cumuler le métier de constructeur de matériel, vendeur de plateforme, fournisseur d’applications « propriétaires ». Peut-on d’ailleurs rêver meilleur business model que celui où un éditeur a à sa disposition tout un aréopage de développeurs prêts à travailler sans la moindre rémunération et poussés par le seul espoir de devenir « le » futur millionnaire en dollars qui a connu la gloire en écrivant une appliquette ? Plus les catalogues des « marketplaces » sont fournis, plus les promesses de consommation de contenu sont en hausse, plus les clients (les opérateurs) sont optimistes, plus le chiffre d’affaire des marketplaces est en hausse… le système peut fonctionner dans un cercle financièrement vertueux indéfiniment.
Mais les récentes actualités ont prouvé que cette abondance d’applications, cette surenchère aux plateformes « smartphone » (notamment IOS, Windows Mobile, Android) n’était pas exempte de failles, et que lesdites failles commençaient à être exploitées.
S’en suit alors un nouveau cercle financièrement vertueux, dans lequel tentent d’entrer les éditeurs de logiciels de sécurité (antivirus, DLP…). Lesquels éditeurs sont accusés par les professionnels du milieu, à tort ou à raison, d’amplifier inutilement le « FUD » (peur incertitude et suspicion) autour des malwares mobiles.
FUD d’autant plus persistant que l’énergie déployée par les éditeurs pour colmater ces trous de sécurité ne semble pas toujours être à la hauteur de ce qu’annoncent les communiqués de presse. Un article de The Understatement dressait récemment un tableau stigmatisant le laxisme technique autour de la plateforme Android. Juniper, pour sa part, y rajoute une couche et affirme, au fil de son Malicious Mobile Threats Report (inscription préalable obligatoire), que les malwares Android ont crû de 400 % de 2009 à 2010. Les articles décrivant comment rooter un noyau Android pullulent sur la Toile, code à l’appui, à tel point que bon nombre de spécialistes se plaisent à définir le noyau de Google comme étant « le système par qui les virus ont fini par s’intéresser à Unix ».