Selon le rapport établi par l'éditeur de solutions de sécurité Symantec, les plateformes pour smartphone iOS d'Apple et Android de Google sont plus sûres que les systèmes d'exploitation traditionnels pour PC, mais elles restent encore exposées à de nombreux types d'attaques. La bonne nouvelle, c'est qu'Apple et Google ont conçu leurs systèmes d'exploitation respectifs en gardant la question de la sécurité à l'esprit. Mais, du fait de l'évolution constante des menaces possibles, il est difficile de maintenir un niveau de sécurité imparable.

Dans le rapport intitulé « Regard sur la sécurité mobile », Symantec a testé les deux systèmes d'exploitation pour voir comment ils résistaient à des attaques sur le web et sur le réseau, à des attaques profitant des techniques de l'ingénierie sociale, celles affectant l'intégrité des données, et comment les OS se comportaient face aux logiciels malveillants. Qu'ils soient sous Android ou sous iOS, les utilisateurs de smartphones et de tablettes tactiles ont pris l'habitude de synchroniser régulièrement leurs appareils avec des services de cloud computing et leurs ordinateurs personnels. Ces opérations peuvent potentiellement exposer certaines données sensibles - personnelles ou professionnelles - à des systèmes qui ne sont plus sous le contrôle de l'entreprise, selon Symantec.

Plus de malwares sous Android

Quand il s'agit de se protéger contre les logiciels malveillants traditionnels, le système de certification des applications et des développeurs mis en place par Apple protège les utilisateurs, selon Symantec. Comparativement, le mode de certification, moins rigoureux, de Google, a sans doute favorisé l'augmentation de malwares sous Android, a indiqué l'éditeur. En juin, Google a dû retirer un nombre encore plus important d'applications infectées par des logiciels malveillants et proposées sur l'Android Market, son site de vente d'applications en ligne. « L'approche, plus ouverte de Google, a été l'une des raisons de son succès, » a déclaré Ben Wood, directeur de recherche chez CCS Insight. « Cela a permis à Google d'augmenter rapidement le nombre d'applications disponibles sur son site.

Jusque-là, les programmes incriminés n'ont pas eu d'incidence majeure pour les utilisateurs, mais ce sentiment pourrait changer rapidement s'ils devaient subir des attaques avec de graves conséquences, » a estimé le chercheur. Comme l'ont déjà remarqué les experts en sécurité, le fait qu'Android se repose sur l'utilisateur pour acquérir un ensemble de validations est un maillon faible du système de Google. La majorité des utilisateurs ne sont tout simplement pas techniquement compétents pour prendre de telles décisions sur la sécurité. Comparativement, la plate-forme iOS refuse tout simplement l'accès, quelles que soient les circonstances, à de nombreuses couches systèmes plus sensibles, selon Symantec. Sur Android, une application malveillante demande simplement à bénéficier de l'ensemble des autorisations dont elle a besoin pour fonctionner. Et dans la plupart des cas, les utilisateurs leur accordent ces accès en toute confiance. Symantec modère un peu en précisant que Google demande aux développeurs de payer un droit d'accès et de s'enregistrer auprès de l'entreprise pour pouvoir distribuer leurs applications via le Marketplace, le site de vente officiel des applications Android.

Un cryptage faiblard sur iOS et absent sur Android

Parmi les faiblesses éventuelles d'iOS, Symantec pointe son mode de cryptage. Selon Symantec, la majorité des données sont cryptées de telle manière qu'elles peuvent être décryptées sans que l'utilisateur n'ait à entrer le code d'accès du terminal. Cela signifie qu'un attaquant ayant un accès physique à un périphérique iOS peut potentiellement lire la plupart des données présentes sur le mobile sans connaître le mot de passe, explique encore Symantec. Au mois de février dernier, des chercheurs allemands en ont fait la démonstration : en six minutes, ils ont réussi à s'introduire dans un iPhone sous iOS 4.2.1. En outre, les attaques contre les applications spécifiques, comme le navigateur web d'iOS, même si elle est autonome et évite les répercussions sur d'autres applications, peuvent encore provoquer des dommages importants à un périphérique. Depuis peu, Android 3.0 (Honeycomb uniquement disponible pour tablettes), propose un mode de cryptage intégré. Mais les versions antérieures d'Android, celles que l'on trouve sur quasiment tous les téléphones mobiles en circulation, ne disposent pas de ces capacités de chiffrement.