iOS versus Android, quelle est la plateforme la plus sécurisée ?

Selon une récente étude publiée par le cabinet d’Analyses Forrester Research, 60 millions de tablettes et 175 millions de Smartphones seront utilisés au travail en 2015, et toujours selon Forrester, 50% des Smartphones et 70% des I-pads utilisés actuellement sont achetés par les employés. Cette croissance exponentielle s’accompagne de la découverte régulière de nouvelles failles et vulnérabilités comme en témoignent notamment les démonstrations réalisées à la conférence BlackHat cet été. Chaque entreprise est alors en droit de s’interroger sur la politique de sécurité et les mesures à mettre en œuvre afin de limiter voire d’éradiquer les problèmes de sécurité que peut amener cette nouvelle donne dans le monde professionnel.

A ce titre, nous nous sommes intéressés au comparatif de sécurité réalisé par Symantec en juin dernier concernant les 2 principales plateformes mobiles utilisées sur le marché : iOS d’Apple et Android de Google.

 

Présentation

Les deux équipements mobiles sont basés sur des systèmes d’exploitation traditionnels (Mac OS X pour iOS et Linux pour Android) renforcés en termes de sécurité. Cependant, ces plateformes qui sont régulièrement connectées à l’extérieur de l’entreprise à des ordinateurs personnels ou sur Internet sont très exposées aux menaces et deviennent elles-mêmes sources de menaces pour l’entreprise chaque fois qu’elles se reconnectent à son réseau.   Dans son étude Symantec compare les différents modèles de sécurité utilisés par iOS et Android et analyse leur efficacité face aux principales menaces.

• Les attaques Internet et réseau : elles se produisent par exemple lorsqu’un utilisateur consulte sans le savoir une page web malicieuse qui, après identification du navigateur, lui envoie une attaque appropriée lui permettant de récupérer des informations confidentielles (mots de passe, numéros de carte de crédit, contacts, …) ou d’installer un malware
• Les malwares : vers, virus et chevaux de Troie
• Les attaques de type ingénierie sociale : emails de phishing, appels téléphoniques …le but est ici d’obtenir des informations potentiellement sensibles directement auprès d’un utilisateur.
• Les abus de ressources et de disponibilité de services : utilisation du terminal pour envoyer du spam ou provoquer des dénis de services
• Les pertes de données intentionnelles ou non : vol de mobile contenant par exemple des mails et fichiers sensibles pour l’entreprise, ou la fuite de données de l’entreprise sur un ordinateur personnel non sécurisé via les mécanismes de synchronisation des mobiles
• Les attaques contre l’intégrité des données des terminaux : corruption ou modification de données par un attaquant ou par un programme malicieux.

Face aux menaces exposées ci-dessus, on constate que les concepteurs des systèmes iOS et Android ont tous deux implémenté, avec différents niveaux de maturité selon le système considéré, une sécurité basée sur les 5 principes de base suivants :

• Le contrôle d’accès traditionnel : mot de passe, verrouillage de l’écran au bout d’une certaine période d’inactivité,
• La validation des applications et le contrôle de leur provenance : par exemple, la signature des applications permet de garantir l’identité de leur éditeur,
• Le chiffrement : protège les données en cas de vol ou de perte du terminal,
• L’isolation : elle est sensée limiter l’accès des applications au système ou aux données sensibles stockées sur le Smartphone,
• Le contrôle d’accès basé sur les permissions : chaque application se voit attribuer un ensemble de permissions bien précis. Le système vérifie ensuite en permanence que les actions réalisées par l’application rentrent bien dans le cadre de ces permissions, et bloque les actions lorsque ce n’est pas le cas.

 

La sécurité du système iOS d’Apple

Symantec considère globalement que le modèle de sécurité de l’iOS est bien conçu et qu’il a prouvé sa résistance aux attaques :

• Le chiffrement utilisé par iOS permet une solide protection des mails et des pièces jointes. En outre le système permet l’effacement du terminal en cas de vol. Cependant un attaquant ayant physiquement accès au mobile peut accéder à la majorité des données sans entrer de mot de passe
• Apple contrôle et valide la provenance des applications avant leur publication. Cette mesure s’est avérée efficace puisqu’aucun malware visant des versions non « jailbreakées » du système n’a été observé jusqu’à présent.
• Le modèle d’isolation de l’iOS (chaque application est isolée des autres applications) protège efficacement le système contre les vers et virus traditionnels et limite la plupart des attaques réseaux comme les débordements de mémoire. Cependant il ne résiste pas forcément à tous les types d’attaques (vol ou modification des données, abus de ressource), puisque certaines données comme les contacts ou l’agenda sont librement accessibles par toutes les applications.
• L’iOS n’autorise pas la localisation du terminal, les appels ou les envois de SMS sans le consentement de l’utilisateur.
• Par contre il n’existe aucune protection contre le spam et le phishing.

 

La sécurité de Google Android

Même si le modèle de sécurité d’Android est meilleur comparé à celui d’un système d’exploitation traditionnel, il comporte 2 inconvénients majeurs :

• Le modèle de certification d’Android étant moins contraignant que celui d’Apple iOS (un certificat numérique est nécessaire pour toute nouvelle installation d’application, mais ce certificat peut être anonyme), les développeurs de logiciels peuvent créer et proposer leurs applications ou modifier des applications existantes anonymement et sans contrôle ce qui contribue à la prolifération de malwares spécifiques à Android.
• Le paramétrage de la sécurité sur Android, même s’il est très puissant (une grande granularité est permise dans la définition des permissions pour chaque application), est laissé à l’appréciation de l’utilisateur. Comme la plupart des utilisateurs n’ont pas les compétences techniques pour ce type de paramétrage, certaines attaques peuvent ainsi s’en trouver facilitées.

En dehors de ces deux points :

• La politique d’isolation d’Android sépare bien les applications les unes des autres et du noyau avec cependant quelques exceptions (les applications peuvent notamment toutes accéder en lecture aux données de la carte SD)
• Android fournit, à partir de sa version 3, une fonctionnalité de chiffrement des données.
• Tout comme iOS, Android ne propose pas de solution face à l’ingénierie sociale.

 

Apple iOS vs. Google Android en résumé

Symantec insiste sur le fait que « l’écosystème » dans lequel évoluent les Smartphones au quotidien, quel que soit le système d’exploitation considéré, constitue une menace importante en termes de sécurité pour l’entreprise. En effet, les terminaux iOS et Android se synchronisent en permanence avec des services cloud privés (le service Exchange de l’entreprise), des services cloud publics (Gmail, MobileMe …) ainsi qu’avec les ordinateurs personnels de leurs propriétaires pour les mails, les calendriers, les contacts … Ces environnements externes à l’entreprise n’étant de base pas sécurisés et potentiellement hostiles, des données sensibles de l’entreprise peuvent se retrouver très facilement exposées.   L’étude donne ensuite deux tableaux :

• Un tableau récapitulatif de résistance des 2 systèmes aux attaques les plus courantes,
•  Un tableau évaluant l’implémentation de la sécurité du système vis-à-vis des 5 principes de base évoqués plus haut.

Nous avons reproduit ces tableaux ci-après.
 

Résistance aux attaques de type :	iOS	Android
Attaques Internet	Protection complète	Protection complète
Malware	Protection complète	Protection faible
Ingénierie sociale	Protection faible ou inexistante	Protection faible ou inexistante
Abus de ressources	Bonne protection	Protection moyenne
Pertes de données (intentionnelles ou non)	Protection moyenne	Protection faible
Perte d’intégrité des données	Protection moyenne	Protection faible

 
 

Principes de base de sécurité	iOS	Android
Contrôle d’accès	Bonne protection	Protection moyenne
Contrôle de la provenance des applications	Protection complète	Protection faible
Chiffrement	Bonne protection	Protection faible
Isolation	Protection moyenne	Protection complète
Permissions	Protection moyenne	Protection moyenne

 

Solutions de sécurité pour le monde mobile

Symantec liste à titre d’information dans son étude les principales solutions techniques qui peuvent renforcer la sécurité des plateformes mobiles, l’évolution de ces solutions étant souvent guidée par l’évolution des menaces :  

• Les antivirus pour mobiles

Des solutions antivirus existent pour les plateformes Android mais ne détectent que les menaces connues. Concernant iOS, le modèle d’isolation mis en œuvre sur ce système rend impossible l’installation d’un antivirus.  

• Les navigateurs sécurisés

Pour les 2 plateformes, des navigateurs sécurisés peuvent être installés afin de vérifier les URL visitées et bloquer les pages malveillantes. Cependant l’utilisateur ne doit alors plus utiliser le navigateur par défaut.  

• Les outils de Mobile Device Management (MDM)

Ces outils permettent l’administration à distance d’un parc de terminaux mobiles. Ils peuvent aider à réduire le risque associé à certaines menaces notamment en configurant les principaux paramètres de sécurité (robustesse du mot de passe, paramètres VPN, …), en désactivant des applications jugées critiques en termes de sécurité, en empêchant l’installation de nouvelles applications ou en configurant la réinitialisation à distance des mobiles volés ou perdus.

• Les solutions de type Enterprise Sandbox

Les solutions de type Sandbox permettent d’enfermer et de chiffrer les données sensibles de l’entreprise dans un environnement sécurisé, ce qui permet à l’utilisateur de se connecter et d’accéder de manière sécurisée à des ressources de l’entreprise avec son propre mobile. Toutes les données stockées dans la Sandbox, toutes les données envoyées ou reçues de services accessibles depuis la Sandbox sont alors chiffrées. L’utilisateur peut toujours faire un usage non professionnel de son téléphone, ces actions-là se déroulant hors de la Sandbox.  

• Les outils de prévention de perte de données (Data Loss Prevention (DLP))

Les outils de prévention de perte de données ne peuvent pas vraiment être utilisés dans le cas d’iOS et d’Android. En effet, en raison du modèle d’isolation mis en place sur ces systèmes, la solution DLP sera incapable de surveiller chaque application à la recherche d’informations potentiellement sensibles.

 

Conclusion

Cette étude, qui fait ressortir iOS comme étant plus sécurisé qu’Android, peut tout de même être tempérée par le fait que les terminaux « jailbreakés » ou ceux dont les dispositifs de sécurité ont été désactivés, deviennent tout aussi vulnérables que des systèmes d’exploitation classiques.

Symantec conclut globalement que même si ces deux plateformes ont été conçues pour offrir plus de sécurité en comparaison à des systèmes d’exploitation classiques (isolation des applications, permissions avancées …), elles ont aussi été conçues sur la base d’un compromis puisqu’avec une volonté de convivialité pour l’utilisateur. Paradoxalement donc, des terminaux qui mettent en œuvre des mesures de sécurité avancées sur le plan technique représentent une menace pour l’entreprise dès lors que les employés les amènent avec eux, puisqu’ils accèdent ainsi à des données potentiellement sensibles. A ceci s’ajoute que les employés connectent régulièrement ces mêmes plateformes aussi bien à des services externes de type cloud qu’à leur poste de travail personnel, lesquels sont évidemment hors du contrôle de l’entreprise.

Enfin, nous trouvons dommage que l’étude n’ait pas inclus les terminaux BlackBerry dans le comparatif. En effet, s’il est difficile de douter du BlackBerry en ce qui concerne sa conception adaptée à l’entreprise et sa protection de la confidentialité des données (chiffrement de bout en bout etc.), il est plus difficile d’évaluer son niveau de sécurité sur l’isolation des applications, la protection contre les malwares, la gestion avancée des permissions pour les applications etc.