GUIDE Sécuriser votre Android : b.a-ba

[alexandre01]

Contrairement à ce qui avait écrit dans l'article, il semble que Google ne fait pas toujours les mises à jour de leurs appareils, comme la plupart d'autres constructeurs.
La fragmentation des versions d'android est importante, Google ne propose pas de mise à jours de sécurité, comme Windows Update chez Microsoft, laissant soin aux constructeurs de faire la mise à jour si ils le désirent, ces derniers font généralement, pour les plus sérieux, un suivi de mise à jour sur deux ans.
Par exemple, il existe une faille de sécurité concernant les processeurs Qualcomm, dont la faille semble comblée pour les versions 5 et 6 d'android, au mois de mai 2016.Cela signifie que parmi les 70 % environ des appareils android inférieure à la version 5, et dont certains sont équipés d'un processeur Qualcomm, ces appareils sont vulnérables.

Par conséquent, si vous souciez de la sécurité de votre appareil:

• Changez de système d'exploitation à la place d'android, ce qui est très difficile.
• Achetez un nouveau téléphone, ce qui peut revenir très cher pour des téléphones haut de gamme.

Achetez sinon un ordinateur portable, où vous aurez un peu plus de contrôle. En effet, le coût économique et écologique revient très cher pour chaque utilisateur, voulant s'équiper d'un appareil android et se souciant de la sécurité, ce qui implique de protéger sa vie privée/intime.

Le système d'exploitation android, comme tout autre système d'exploitation, peut contenir des failles de sécurité qui peuvent créer de lourdes conséquences pour l'utilisateur et\ou de l'appareil si elles sont exploitées.

Par contre, l'utilisateur doit-être vigilant, les principaux problèmes proviennent le plus souvent de l'utilisateur, des règles de bases peuvent diminuer drastiquement le risque d'infection sur les appareils android:

Règle numéro 1

Toujours utiliser le magasin d'application officiel google play store pour télécharger vos applications, afin d'éviter d'infecter votre appareil inutilement, de même ne pas télécharger des fichiers apk, paquets permettant d'installer des applications sur android via des sources inconnues.

Google mène un contrôle strict des applications déposées sur google play store, bien que des fois, quelques applications malveillantes peuvent passer sous le radar. Néanmoins, le risque est beaucoup moins grand que d'autres magasins d'applications, comme Fdroid par exemple.

Sachez toutefois que la NSA aurait piraté les serveurs android en France en 2013\2014, pour des buts plus ou moins définis et éthiques, vous pouvez voir ce lien.

Règle numéro 2

Si vous utilisez des magasins d'applications autre que google play, un antivirus est plus que recommandé en permanence.
Si vous utilisez le magasin d'applications google play store, une analyse par un antivirus de temps en temps pourra vous rassurer.



Cette analyse avec un antimalware d'un appareil android sous machine virtuelle montre que le fait de télécharger des applications android sur des sites internet ou sur des magasins d'applications alternatifs peut être dangereux.

Ce n'est pas parce qu'une application n'est pas détecté comme malveillante qu'elle ne l'est pas.
Se méfier des applications que vous télécharger et qui vous demande d'installer des données supplémentaires.

Cette application est suspecte, puisqu'elle me demande de télécharger des données supplémentaires. Dans ce cas, la meilleure chose à faire est de ne pas installer ce qui est demandé et de désinstaller cette application

Règle numéro 3

Toujours bloquer l'installation de sources inconnues, option proposé par android.



L'option désactivée, encadrée en rouge "sources inconnues" permet grandement de réduire la compromission de vos données et d'endommager votre appareil.

De plus, vous pouvez autoriser android à vérifier périodiquement la véracité des applications installées.



L'option "Analyser appareil pour détecter menaces de sécurité" permet à android de détecter des failles de sécurité ou autre problème, et vous en avertir.

Règle numéro 4

Vérifier les droits accordées à des applications que vous installez. Par exemple, une application de type "détecteur de métaux" ou "lampe de poche" n'a pas besoin d'obtenir des droits, comme l'envoi de SMS payants, la liste de vos contacts, etc.



Il est indispensable de vérifier les autorisations que l'on accorde lorsqu'on installe une application. Pour cette image, une application pour tester vos capacités n'a pas besoin d'autant d'autorisations pour fonctionner.Notez aussi que cette application est nuisible, et est donc supprimée du magasin d'application google play. Avec un magasin d'application alternatif, ici, aptoide, il est toujours présent est considéré comme sûr. Cet exemple est choisi judicieusement pour vous convaincre que google play est l'alternative la plus sûre, en théorie.

Il ne faut pas oublier que selon les droits accordés à une application, cette dernière peut exfiltrer des données qui sont présentes sur votre appareil, parce que vous avez accepté d'installer l'installation, avec les autorisations qui vont avec, et ceci même si ce n'est pas une application malveillante. Il ne faut pas oublier que la sécurité de vos données, surtout en entreprise, est aussi une composante essentielle.

Règle numéro 5

Il faut éviter de rooter, i.e donner les droits administrateurs à votre appareil. Si vous êtes infecté, et qu'un malware y a accès, les conséquences peuvent être désastreuses pour vos données et pour l'appareil en question, mais aussi aux périphériques alentours.

Toutefois, le fait de rooter son appareil peut avoir aussi des avantages, comme supprimer les applications intégrées, installer un bloqueur de publicité, configurer un parefeu, jouer à des jeux piratés etc.

Sachez aussi que le fait de ne pas rooter votre téléphone ne rend pas votre appareil "invulnérable". Il peut substituer des failles de sécurité non connues qui peuvent-être exploitées par un assaillant acharné pour rooter le téléphone.

Règle numéro 6

Toujours faire la mise à jour des programmes et des derniers correctifs d'android. Il ne faut pas oublier que certains appareils ne sont plus mis à jour par des fabricants, rendant les appareils en question vulnérables.

D'une part, les constructeurs d’appareils android mettent du temps pour déployer un correctif de sécurité par rapport à la date de publication, qui peut aller de quelques jours à quelques mois,
d'autre part les constructeurs consciencieux devraient avertir leurs clients la fin logicielle du supports des appareils, avec les conséquences qui peuvent subvenir.
Dès lors, un appareil avec une veille version d'android sera plus vulnérable qu'un appareil récent.

Lors d'un achat d'appareil android (tablette, téléphone), si la sécurité de votre appareil l'emporte, il vaut mieux privilégier les appareils de la firme de google. (Nexus pour tablette\téléphone, chromebooks pour ordinateur)

edit: Il ne semble pas que ce soit le cas.

Règle numéro 7

Vous pouvez recevoir des SMS\MMS douteux, vous proposant de cliquer sur un lien, de même ne cliquez pas sur le lien . NE LE FAITES JAMAIS.
Ce peut-être des SMS\MMS de phishing, se faisant passer pour votre opérateur\banque pour voler vos identifiants et vos mots de passe, ou encore de la publicités, et dans certains cas, vous menez sur un lien pour infecter votre appareil.


Ceci est un SMS publicitaire, par mesure de précaution, ne cliquez pas sur ce lien. Vous auriez pu avoir d'autres types de message, comme un SMS se faisant passer pour un opérateur mobile, ou pire encore (voir anecdote ci-dessous).

Anecdote: Sachez que les renseignements britanniques (CGHQ) possèdent une panoplie de malwares pour téléphones portables pour infecter chaque appareil android. Pour les curieux, je cite le nom doux des malwares ci-dessous, traduit en français:

• Schtroumpf rêveur: permet d'éteindre et de rallumer votre appareil sans que vous le sachiez.
• Schtroumpf curieux: permet d'activer le micro de votre appareil une fois que l'appareil est dans votre poche.
• Schtroumpf traqueur: Permet de vous localiser d'une façon extrêmement précise.
• Schtroumpf paranoïaque: Permet de se cacher lorque le téléphone est emmené en réparation, ou que l'utilisateur détecte quelque chose de louche.
• Prendre des captures d'écran , sûrement fait par le Schtroumpf paranoïaque.

Et ceci en commençant par vous envoyer simplement... un SMS.

source

Règle numéro 8

Désactiver l'option de connexions automatiques aux réseaux wifi public, du moins, connectez-vous quand le besoin de se connecter est présent, par exemple quand vous allez chez WacDo, centre commercial, etc.
En effet, les données récoltées par le réseau Wifi peuvent être librement visualisée par des tiers, qui pourraient profiter de la situation pour vous siphonner des données, voir plus.

Dans ce cas, l'utilisation d'un VPN est recommandé. Mais cela ne vous rendra pas "anonyme", puisque l'adresse MAC sera collectée, mais le ou les routeurs verront vos données chiffrées.

Règle numéro 9

Mettre un mot de passe ou des alternatives similaires pour votre appareil android, afin d'éviter que quelqu'un un peu trop curieux puisse jeter un coup d’œil à votre téléphone pendant que vous vous absentez.
Ne pas confondre le mot de passe ou alternatives similaires avec le code PIN de votre carte SIM.



Google permet de protéger votre téléphone par un mot de passe, un code pin ou encore un schéma, comme le montre l'image ci-dessus. N'utilisez pas ce schéma bien entendu, il est simpliste, par contre cette protection permet, entre autre, de ne pas pouvoir récupérer les données lorsque l'on branche l'appareil sur un ordinateur.

Note: Sur android, on peut aussi chiffrer l'appareil, et on peut se demander pourquoi il est utile de chiffrer votre l'appareil si vous avez mis un mot de passe.

La première chose qui viendrait à l'esprit est que la récupération des données sera beaucoup plus difficile, après avoir effacé ses données pour revendre l'appareil par exemple. Toutefois, ceci est discutable, le stockage des données SSD comparés au disques durs diffèrent.

Selon la source cité ci-dessous,le fait de restaurer à l'état d'usine sans le compte précédent rend le téléphone inutilisable (à partir d'android 6). De plus, google ne pourra pas changer le mode de passe\code PIN si le téléphone est chiffré. Ceci est à vérifier.

Source (dans les commentaires)

Il existe des options dans android pour effacer ses données à distances, mais aussi des applications pour géolocaliser votre téléphone volé perdu.

Bonus

Pour plus de sécurité et de confidentialité, vous pouvez:

• Désactiver les fonctionnalités , comme le bluetooth, NFC, géolocalisations ou autres fonctionnalité, lorsque vous ne les utilisez pas.
• De jamais payer par carte bancaire\faire des achats via un téléphone android.
• Bloquer les publicités.
• Enlever la batterie quand vous avez des besoins de confidentialité. De plus en plus, les téléphones que l'on achète ont une batterie intégrée, que le l'on peut pas démonter. Ceci est problématique puisque dans ce cas, il faut éteindre le téléphone et mettre le téléphone en question dans une grosse boite métallique,t hermétique par le son. Un téléphone, même éteint peut toujours espionner l'environnement.
• Ne pas stocker de documents confidentiels sur votre téléphone, et aussi éviter les options de synchronisations, d'envoi de données anonyme si vous travaillez dans un projet de grande valeur. Du moins, séparer bien vos activités personnelles de celle de votre travail, avec deux téléphones différents.
• Dans le cadre d'une entreprise, installer un VPN fourni par cette dernière est conseillé. Pour les utilisateurs, un VPN est aussi conseillé, par contre , choisissez bien le prestataire, tous ne se valent pas et ne croyez pas que les VPN sont "no log".

En conclusion, ces conseils permettront de prendre conscience des dangers que vous prenez en ne respectant pas des principes de base. On ne parlera pas de la sécurité au niveau des réseaux cellulaires, mais si cela vous intéresse, je peux vous fournir une capture d'écran pour que vous puissiez essayer de comprendre pourquoi la zone encadrée en rouge est le meilleur choix pour votre appareil.

​