Hacking Mobile

L’expérience qui met à mal les anti-virus pour smartphones

Il a été dit et répété que les smartphones prenaient une place de plus en plus prépondérante. Selon une étude GFK, la vente de smartphones en France s’élèvera à 13.3 millions d’unités pour l’année 2012.

Mais il a également été souligné qu’il était nécessaire de protéger son smartphone contre les malwares. Marché prometteur pour les éditeurs d’anti-virus, des chercheurs Suédois ont voulu tester les performances de 13 anti-virus, en créant leur propre spyware. Les résultats sont édifiants.

Le laboratoire indépendant AVtest avait procédé au mois de mars dernier à une sorte de comparatif des anti-virus en créant de toutes pièces un malware qu’ils ont ensuite injecté dans un PC. L’équipe Tech World, avec le soutien de Jonathan James, spécialiste en sécurité informatique chez Atea, a repris ce procédé mais en injectant un malware dans un smartphone, plus précisément dans un smartphone Sony Ericsson Xperia Neo avec Android 2.3.4 et un Samsung Galaxy Nexus avec Android 4.0. Ils ont testé tous les anti-virus disponibles dans l’Android Market, y compris les applications les plus chères, afin de ne pas passer à côté des mises à jour de sécurité et de bénéficier d’outils d’analyses plus fins.

Le malware créé de toutes pièces était de type AV rogue-spyware. A l’écran s’affichait un message proposant un scan gratuit de l’appareil, pendant qu’en background, le malware volait les données personnelles, en particulier la localisation GPS, les adresses IP disponibles, le journal des appels, les messages en clair et les envoyait ensuite sur un serveur distant quelconque.

Si les anti-virus pour ordinateurs sont performants, selon le test réalisé, les anti-virus pour smartphones se contentent d’analyser la signature des malwares et ne procèdent pas l’analyse de code. Dans le cadre de ce test, la plupart des anti-virus testés n’ont détecté ni le scan des informations, ni l’envoi des informations sur le serveur. Le programme malveillant n’a d’ailleurs été détecté par aucun des treize anti-virus testés, dans la mesure où la signature était inconnue. Sur les ordinateurs, la plupart des anti-virus procèdent à l’analyse de la signature ainsi qu’au test du code en activant une sandbox. La sandbox est un mécanisme d’exécution de logiciels qui permet de ne pas mettre en danger tout un système.

Ce test en sandbox n’est pas effectué sur les smartphones. Sur les treize anti-virus testés, seul BitDefender a averti l’utilisateur qu’une application était en train d’installer des informations sur le Web. Normalement, les anti-virus sur smartphones, en plus de l’analyse de reconnaissance de signature du malwares, doivent alerter l’utilisateur lorsqu’une application se comporte d’une façon qui peut être dangereuse pour la confidentialité des données, quand bien même l’application aurait reçu lors de son installation toutes les permissions nécessaires.

Seul McAfee a mis en évidence le malware créé de toutes pièces, mais en se contentant uniquement de placer une petite icône sur l’écran et non en procédant au blocage d’exécution de l’application.

On le voit, les résultats de ce test sont particulièrement médiocres. Sur un ordinateur, les anti-virus procèdent à une analyse en profondeur du code, de l’application, de la classification, du comportement, de la signature et permettent d’obtenir des résultats satisfaisants. Pourquoi une telle disparité avec les smartphones ? Il semblerait que le problème soit en partie dû à des questions de performances et de batterie. Les smartphones ne sont pas encore conçus pour avoir ce type de logiciels qui tournent en arrière-plan. Chez Symantec, on se défend en soulignant que la faute serait partiellement due à Google qui limiterait les fonctions d’Android. Par conséquent, l’anti-virus fourni par Symantec, en l’espèce Norton, se contente de procéder à une détection générique en combinaison avec un suivi de réputation.

Que faut-il retenir de cette étude ? Tout d’abord, que même si les anti-virus pour smartphones manquent de finesse d’analyse, il convient tout de même d’en installer un car les bases de données collectant les signatures de malwares sont mises à jour régulièrement. De la même manière, il convient de ne pas installer n’importe quelle application, que celle-ci se trouve dans le Market officiel ou non. Enfin, pour plus de sécurité, il est possible de procéder soi-même à l’analyse de code et de permissions, notamment grâce à OSAF.