Attaques contre le systme Android

Analyse de la situation par Eddy Willems

Android est la premire plate-forme aprs Microsoft Windows devenir une cible de choix pour les cybercriminels. Une affirmation que la plupart des spcialistes de la scurit informatique ont formule en 2011, G Data inclus. Mais pourquoi Android plus que les autres plates-formes (mobiles) ? Ce document fait la lumire sur cette affaire et dmontre que la plate-forme Android runit dsormais les trois facteurs essentiels un crime : le mobile, le moyen et lopportunit.

Le mobile
La cybercriminalit a commenc avec Microsoft Windows. La raison nest pas, comme de nombreuses personnes ont tendance le penser, que Windows est un systme peu scuris, prsentant de nombreuses failles. Un pirate de talent pourrait trouver des failles nimporte quel systme dexploitation en ltudiant attentivement. La raison pour laquelle tant de fuites ont t dtectes au niveau de la scurit des versions Windows au fil des ans est que des millions dheures ont t consacres leur recherche. Cet investissement en temps est uniquement ralis parce quil est payant. Environ 90 % des utilisateurs dordinateur utilisent Windows , 1 ce qui reprsente environ 1,35 milliard de personnes dans le monde (si nous partons du principe que le monde compte actuellement environ 1,5 milliard dordinateurs actifs ) 2.

Go safe. Go safer. G Data.

La recherche de failles de scurit exploitables et la cration de logiciels malveillants efficaces indiquent que tous ces ordinateurs reprsentent un march potentiel. Avec le logiciel malveillant adapt, il est possible de prendre le contrle de ces ordinateurs, de les intgrer un rseau de robots et dy rechercher des donnes personnelles et financires qui peuvent tre revendues sur le march noir ou utilises comme identit pour toutes sortes dactivits criminelles. On estime que les profits raliss chaque anne par les cybercriminels sont suprieurs au chiffre daffaires du secteur de la drogue. En dautres termes, consacrer du temps lcriture de logiciels malveillants pour Windows est un investissement payant.

Windows. Il ne serait toutefois possible de parvenir cette conclusion quen consacrant la recherche des failles de ces systmes autant dheures que celles qui ont t passes trouver les failles de Windows. Ce qui nest pas encore le cas, nous ne pouvons donc pas mettre en avant la scurit dun systme plus quun autre. Cette thorie sapplique galement aux plates-formes mobiles. Les smartphones existent depuis de nombreuses annes, mais aucun quivalent mobile de Windows navait fait son apparition jusqu prsent. Pendant de nombreuses annes, plusieurs systmes dexploitation diffrents ont coexist, sans quaucun soit plus populaire que les autres. La thorie selon laquelle tous ces systmes prsentent des failles, mais que celles-ci ne font pas lobjet dtudes approfondies parce que linvestissement nest pas payant tient toujours. Mais cette ralit semble connatre une volution. En 2010, Android a affich pour la premire fois ses ambitions de conqurir le monde mobile. Des ambitions qui se sont avres ralistes en 2011. Les tudes menes par diffrents analystes et chercheurs en 2011 montrent une prfrence marque du public pour le systme Android. Gartner signale que le systme Android a atteint la majorit absolue des parts de march dans le monde au cours du troisime trimestre 2011 : 52,5 % des smartphones vendus au cours de cette priode utilisent Android. Symbian, le deuxime systme, est loin derrire, avec seulement 16 %. Apple occupe la troisime position, avec 15 %.

Bien videmment, il y a toujours eu des plates-formes populaires, Windows mis part. Les plates-formes OS X et Linux de la socit Apple continuent gagner en popularit, par exemple. De nombreuses personnes pensent que ces systmes sont bien plus srs que

52.5%

Go safe. Go safer. G Data.

De tous les systmes dexploitation, Android est le seul dont la part de march a augment au troisime trimestre. 3 Lindustrie de la scurit peut donc dsormais affirmer avec certitude que le systme Android est le grand gagnant. Ce dont conviennent les crateurs de logiciels malveillants. La possibilit datteindre un large public avec Android et de voler 52,5 % des utilisateurs de smartphone est un mobile suffisamment puissant pour pousser les crateurs de logiciels malveillants crire des logiciels de haute qualit pour cette plate-forme spcifique.

Conditions de publication dune application pour les systmes Apple et Android Frais denregistrement pour les dveloppeurs (par carte de paiement) Frais annuels pour les dveloppeurs (par carte de paiement) Application techniquement vrifie avant disponibilit sur le Market

Apple 99 99 Oui

Android 25 Non

Le moyen
Avant Android, un autre systme faisait partie des favoris : Symbian. Pourquoi le mobile qui a pouss crer des logiciels malveillants pour Symbian ne fut-il pas suffisamment puissant pour lancer une invasion de logiciels malveillants pour Symbian ? Cela est li au manque de moyens de diffusion des logiciels malveillants pour Symbian. Tous les systmes dexploitation mobiles ont une chose en commun : leur architecture est trs diffrente de celle du systme Microsoft Windows pour les ordinateurs. Il semble que les dveloppeurs aient attentivement tudi ce qui nallait pas avec les premiers systmes dexploitation pour ordinateurs PC et aient cr des systmes bien plus srs (mme sil y a encore de nombreuses possibilits de dtecter des failles). Il nest pas facile dinfecter un smartphone et de diffu ser des logiciels malveillants par le biais dattaques traditionnelles. Le moyen le plus efficace de lancer des attaques au niveau du systme Symbian sest avr tre via le Bluetooth. Il tait cependant ncessaire de se trouver physiquement proche dun smartphone dont la connexion Bluetooth tait active pour que lattaque fonctionne. Ce qui limite tant le public cible que passer du temps crire un logiciel malveillant pour Symbian semblait trs peu rentable. Dans le cas du systme Android, les logiciels malveillants peuvent tre facilement diffuss, par le biais des applications. Elles sont tlcharges et installes manuellement par les propritaires de smartphones du monde entier. Une application gratuite locale de popularit moyenne est tlcharge plus de 10 000 fois. Les applications gratuites internationales de popularit moyenne peuvent tre tlcharges plus dun million de fois. Les applications frauduleuses apparues au niveau de lAndroid Market, telles que celles qui ont diffus le cheval de Troie DroidDream, ont t tlcharges plus de 250 000 fois en seulement quelques jours. Les applications sont donc un moyen trs efficace pour la diffusion de codes nuisibles sur les smartphones. Grce au piratage psychologique, les applications semblent trs attrayantes, ce qui pousse les utilisateurs les tlcharger et les installer. Jusqu prsent, les installations ne sont pas automatiquement lances, cela ne pourrait cependant tre quune question de temps.

Go safe. Go safer. G Data.

Lopportunit
Android nest cependant pas la seule plate-forme dont les applications sont populaires. Les applications Apple rencontraient en ralit bien plus de succs que celles dAndroid jusquau deuxime trimestre 2011 . 4 Apple semblait tre le grand gagnant, juste aprs le dclin de Symbian et avant le dveloppement spectaculaire dAndroid. Comment la socit Apple est-elle parvenue esquiver les attaques pendant tout ce temps ? Il y avait bien un mobile et les applications constituaient un mode thorique dinfection. La rponse se rsume en un mot : lopportunit. Apple et Android disposent de processus de cration et dadmission des applications diffrents. Nous devons bien reconnatre que le systme propos par Apple est plus sr. Cela ne signifie pas que le systme dexploitation dApple est plus sr que celui

dAndroid. Il est cependant plus difficile de ltudier en raison de sa nature ferme. Et lorsquune faille est dtecte, il est trs difficile dintgrer une application dexploitation lAppstore en raison des processus complexes mis en place par Apple en matire de cration et dautorisation des applications. La situation est compltement diffrente avec Android. Android est une plate-forme semi-ouverte, une grande partie du code est donc accessible tous. Il est ainsi beaucoup plus facile de trouver des failles de scurit. Et de crer des applications (dexploitation). Cela, asso ci au processus dautorisation des applications, qui nest pas trs strict, fait dAndroid une cible bien plus facile atteindre quApple na jamais t, ce qui fournit des opportunits bien plus nombreuses. Le mode dautorisation des applications est un autre point qui rend la cration de logiciels malveillants pour Android bien plus attrayante pour les crateurs. Plutt que de demander lutilisateur dautoriser une application spcifique, Android demande lutilisateur dautoriser le crateur/lditeur de lapplication. Si lutilisateur installe par la suite une application dveloppe par le mme crateur/diteur, la nouvelle application peut utiliser les autorisations de la premire application tlcharge. La premire application peut galement utiliser les autorisations accordes lors de linstallation de la deuxime application. Les crateurs de logiciels malveillants peuvent donc obtenir beaucoup plus facilement des autorisations que les utilisateurs naccorderaient normalement pas une application associe une autre.

Le crateur na donc pas mettre au point des stratagmes spciaux pour envoyer des mises jour nuisibles une application inoffensive installe sur un smartphone. Un tel stratagme existe et a dj t identifi 5, il ncessite cependant un enracinement du tlphone, ce qui est un processus relativement complexe, qui constitue gnralement une opration trs risque avec un systme dexploitation mobile. Il est facile dimaginer quel point les cybercriminels sont intresss par les applications qui permettent aux utilisateurs de payer par tlphone mobile ou de prendre part des oprations bancaires mobiles. Cela peut savrer bien plus rapidement rentable que dabonner le tlphone pirat un service de SMS onreux, qui est lun des principaux moyens habituellement utiliss pour gagner de largent. Le paiement par tlphone mobile gagne en popularit en Extrme-Orient et en Russie. Nous constatons que les applications nuisibles qui exploitent cette possibilit sont diffuses dans ces pays plus quailleurs, ce qui signifie que les cybercriminels suivent largent.

Go safe. Go safer. G Data.

Conclusion
Nous avons tudi les diffrents lments ncessaires lexcution dun crime et la mesure dans laquelle les trois principaux systmes dexploitation mobiles proposent ces lments, il est temps dtablir une comparaison. Les barres ci-dessous reprsentent les trois lments. Pour que le systme constitue une cible parfaite pour les cybercriminels, toutes les barres doivent tre entirement remplies. Android est le seul systme qui forme une cible parfaite. Le seul lment manquant, du point de vue des opportunits, est la possibilit dinstaller des applications nuisibles sur un systme sans que le propritaire de lappareil ait besoin de fournir son approbation. Nous navons pas trouv dapplications qui peuvent sinstaller de manire entirement autonome, nous pensons toutefois quil ne sagit que dune question de temps. Nous craignons quune fois le dernier obstacle franchi, lcriture de logiciels malveillants pour Android deviennent bel et bien le crime parfait.

Dans quelle mesure les systmes dexploitation mobiles regroupent les trois lments ncessaires lexcution dun crime ?

Go safe. Go safer. G Data.

Eddy Willems G Data Security Evangelist Eddy Willems, originaire de Belgique, travaille dans le domaine de la scurit des Nouvelles Technologies depuis 1989. Pendant plus de vingt ans, il a travaill pour dinfluents instituts tels que lEICAR, dont il est le co-fondateur et le directeur de la presse et de linformation, plusieurs associations CERT, les Forces de Polices internationales et lorganisation lorigine de la WildList, ainsi que des entreprises commerciales, comme NOXS et Kaspersky Lab Benelux. En sa qualit de Security Evangelist chez G Data, Eddy Willems cre le lien entre complexit technique et utilisateur. Il est charg dassurer une communication prcise des laboratoires de G Data Security avec la communaut de scurit, la presse, les distributeurs, les revendeurs et les utilisateurs finaux et prend souvent la parole lors de confrences internationales sur la scurit comme Virus Bulletin, EICAR, InfoSecurity, etc. Affiliations / Organisations : EICAR, membre (co-fondateur) AMTSO, membre Indication des sources :
http://en.wikipedia.org/wiki/Microsoft_Windows#Usage_share http://www.worldometers.info/computers/ 3 http://www.gartner.com/it/page.jsp?id=1848514 4 http://www.abiresearch.com/press/3799-Android+Overtakes+Apple+ with+44%25+Worldwide+Share+of+Mobile+App+Downloads 5 http://www.csc.ncsu.edu/faculty/jiang/DroidKungFu.html
1 2

Contact ditorial G Data Software AG

International : Thorsten Urbanski (Headquarters Germany) Knigsallee 178 b, 44799 Bochum, Germany Phone: +49 (0) 234 97 62 0 E-mail: press@gdatasoftware.com www.gdatasoftware.com Germany Austria Switzerland : Thorsten Urbanski Phone: +49 (0) 234 97 62 239 E-mail: thorsten.urbanski@gdata.de Kathrin Beckert Phone: +49 (0) 234 97 62 376 E-mail: kathrin.beckert@gdata.de www.gdata.de Benelux & UK : Danille van Leeuwen Phone: +31 (0) 20 808 08 35 E-mail: danielle.van.leeuwen@gdata.nl www.gdata.nl Italy : Eliana Squillacioti Phone: +39 051 6188712 E-mail: eliana.squillacioti@gdata.it www.gdata.it Spain & Latin America : Ignacio Heras Phone: +34 917 45 30 73 E-mail: pr-espana@gdatasoftware.com www.gdata.es France & North Africa : Jrme Granger Phone: +33 (0) 141 48 51 46 E-mail: jerome.granger@gdata.fr www.gdata.fr Russia : Ekaterina Shishchenko Phone: +7 967 103 066 9 E-mail: ekaterina.shishchenko@gdatasoftware.ru www.gdatasoftware.ru

G Data Software AG Knigsallee 178b D-44799 Bochum Allemagne G Data Software AG, dont le sige est bas Bochum, est un diteur de logiciels, novateur et en pleine croissance, spcialis dans les solutions de scurit informatique pour les petites, moyennes et grandes entreprises, ainsi que pour les particuliers. Cette entreprise, fonde en 1985 Bochum est pionnire dans le domaine de la protection antivirus. Il y a plus de vingt ans, elle dveloppait la premire solution antivirus. Les solutions de scurit G Data sont disponibles dans plus de 90 pays travers le monde. Pour plus dinformations sur lentreprise et ses solutions de scurit, consultez le site www.gdata.fr / www.gdata.be

Copyright 2012 G Data Software AG. All rights reserved. No portions of this document may be reproduced without prior written consent of GData Software AG, Germany. Specifications are subject to change without notice. Microsoft and Windows are registered trademarks of Microsoft Corporation. Android is a trademark of Google Inc. Use of this trademark is subject to Google Permissions. All other brands or products are trademarks or registered trademarks of their respective holders and should be treated as such.

Go safe. Go safer. G Data.