Les smartphones bon marché et les politiques laxistes nous laissent vulnérables aux intrusions informatiques

Magasin de téléphonie mobile à Lusaka, Zambie. Photo prise par Curious Lee via Flickr (CC BY-NC-SA 2.0)

Rédigé par Nathalie Maréchal. Nathalie est un membre senior de Ranking Digital Rights.

Lorsqu'il s'agit de smartphones, tous les utilisateurs ne sont pas créés égaux. les personnes à faible ou à moyen revenu à travers le monde ont recours à des appareils Android abordables afin de communiquer et de partager les informations. Cependant, les téléphones bon marché laissent souvent leurs utilisateurs vulnérables à des attaques et des menaces en ligne.

Les appareils fonctionnant sous le système d'exploitation Android représentent 88% du marché mondial tandis que les iPhones constituent les 12% restants. Néanmoins, les appareils Android diffèrent les uns des autres: les modèles qui sont directement fabriqués et contrôlés par Google, tels que les smartphones Nexus et Pixel, sont considérablement plus sécurisés contre les attaques pirates que ceux produits par des compagnies telles que Samsung, Huawei, Sony et Xiaomi.

Résultat, les utilisateurs plus fortunés, ceux pouvant se permettre d'acheter des appareils haut de gamme de manière régulière, sont protégés contre plusieurs menaces auxquelles la majorité des utilisateurs — qui ont recours à des appareils moins chers, et n'ont pas l'occasion de les remplacer souvent — sont vulnérables.

Cela veut dire que ceux qui n'ont pas les moyens de se protéger sont les plus vulnérables aux fraudes, usurpation d'identité, intimidation et cyber-harcèlement, ainsi que tout autre mal qu'une personne peut subir quand son intimité numérique est violée.

Un problème sérieux et méconnu d'inégalité globale

Ranking Digital Rights, une initiative de recherche à but non lucratif, évalue les entreprises les plus influentes du secteur internet, mobile et de la télécommunication, au niveau international concernant leurs pratiques à l'égard des droits des utilisateurs. publié une nouvelle recherche montrant que les entreprises échouaient à fournir des informations basiques qui pourraient expliquer aux utilisateurs comment leurs smartphones (ainsi que les logiciels les faisant tourner) affectent leur sécurité.

Tout ce qu'on fait sur un appareil mobile crée une trace numérique qui peut révéler qui nous sommes, ce que nous faisons, ce que nous achetons et ce que nous pensons. Ces données sont vulnérables tant face à des marketeurs qu'à des gouvernements, criminels, et toute personne qui voudrait nous nuire.

Un véhicule de la cie MTN en Ouganda, 28 novembre 2005, CC 2.0.

Les chercheurs trouvent constamment des failles dans les logiciels mobiles que les assaillants (incluant des acteurs parrainés par des États) peuvent exploiter, leurs permettant d'installer des logiciels espions ou même de contrôler des appareils à distance, par le simple biais d'un SMS. Global Voices a couvert certains de ces cas où l'on vise des activistes Iraniens, des internautes tutilisateurs internet Tibétains ainsi que d'autres victimes.

Bien que certains utilisateurs reçoivent de la part les fabricants de logiciels des “patchs” de sécurité ou des mises à jour pouvant corriger le problème, d'autres ne le font pas. Les fabricants négligent d'expliquer aux utilisateurs l'importance de ces mises à jour.

Plusieurs entreprises adoptent des politiques de “divulgation responsable” invitant les personnes qui repèrent des failles ou des bugs à les prévenir afin qu'elles puissent développer des solutions et éliminer ces problèmes des appareils utilisant leur logiciel, généralement par la voie d'une mise à jour.

Cela fonctionne plutôt bien d'après Apple et Google — les deux compagnies produisant les logiciels faisant fonctionner 99.6% des smartphones à travers le monde. L'été dernier, lorsqu'un groupe de chercheurs en matière de sécurité dirigé par Bill Macczak, à l'époque étudiant diplômé à Berkeley, ont découvert que le gouvernement des Émirats arabes unis utilisait une méthode jusque-là inconnue et très sophistiquée pour attaquer des défenseurs des droits de l'homme, dans le but de transformer leurs iPhones en mouchards afin d'enregistrer tout ce qui se passe autour d'eux. Heureusement, Ahmed Mansoor, un activiste émirati, ne s'est pas fait avoir, et a plutôt alerté Macczak et ses collègues qui, en retour, ont avertit Apple. Les ingénieurs d'Apple ont fait des heures supplémentaires pour en moins d'un mois sortir un patch pour les utilisateurs. L'équipe de sécurité Android est tout aussi diligente.

Le problème se pose lorsqu'on a affaire à d'autres fabricants utilisant Android tels que Samsung, HTC et Xiaomi.

Pour diverses raisons, les façons dont ces fabricants modifient le système d'exploitation open source d'Android rendent difficile la tâche de livrer des mises à jour aux logiciels. Le code que Google délivre doit être modifié pour correspondre aux changements effectués sur le système d'exploitation. De plus, les sociétés de téléphonie mobile effectuent elles aussi des modifications, ajoutant une étape de plus au processus et retardant encore plus la distribution des mises à jour. Apple n'autorise pas de telles modifications à iOS, tandis que Google contrôle le processus de mise à jour des appareils mobiles Nexus et Pixel achetés depuis le Google Store.

Il en résulte qu'à tout moment, les appareils de millions d'utilisateurs Android sont vulnérables à des exploits connus — des attaques connues par la communauté globale de sécurité des systèmes d'information. C'est comme si vous verrouillez votre porte d'entrée avec une clé dont des centaines de personnes ont une copie. Puisque ces appareils coûtent nettement moins cher que le Nexus, Pixel ou iPhone, les gens pauvres,  socialement défavorisés et pas vraiment technophiles — les mêmes personnes qui se connectent à internet exclusivement depuis leurs smartphones — sont ceux qui sont les plus exposés en moins d'un mois à subir une attaque.

Ranking Digital Rights: Indice de Responsabilisation des Entreprises de 2017

L'indice de 2017 classe 22 entreprises suivant 35 critères répartis en trois catégories. Ces critères mesurent à quel degré les entreprises publient les politiques affectant le respect de la vie privée ainsi que la liberté d'expression des utilisateurs. L'indice évalue les politiques de la société-mère, des entreprises exploitantes ainsi que certains services (selon la structure de l'entreprise).

Vous pouvez consulter la méthodologie, le processus de recherche et comment RDR note chaque entreprise sur leur site web. Ranking Digital Rights a été fondé par la cofondatrice de Global Voices Rebecca MacKinnon.

D'après de nouvelles données publiées par Google, seule la moitié des appareils Android a reçu un patch de sécurité en 2016. À l'échelle mondiale, seulement 3% des appareils fonctionnent sous “Nougat”, la dernière version de leur système d'exploitation. Aux États-Unis, La Federal Trade Commission ainsi que la Federal Communications Commission estiment qu'il s'agit d'un problème majeur, c'est pour cela qu'elles ont décidé d'ouvrir une enquête commune afin  d'investiguer de manière spécifique la distribution des patchs de sécurités mobiles. Plus d'un plus tard, aucune de ces agences n'a publié les réponses des entreprises.

L'indice de Responsabilisation des Entreprises de 2017, publié par Ranking Digital Rights, compare les déclarations et engagements publics effectués par 22 compagnies mondiales d'internet et de télécommunication à l'égard des droits de l'homme, de la liberté d'expression et du respect de la vie privée des utilisateurs. Cet indice inclut Samsung, qui représente la part la plus importante au monde des appareils fonctionnant sous Android, ainsi que 10 fournisseurs de services de télécommunications internationaux. Hormis Google, aucune des 11 entreprises impliquées dans la distribution des mises à jour de logiciels d'Android ne divulgue d'informations concernant la façon dont elles modifient la version basique d'Android, ni comment ces changements affectent la distribution des mises à jour de sécurité.

En outre, des trois sociétés de smartphones examinées, seul Google spécifie la date à laquelle chaque modèle de ses appareils est garanti de recevoir une mise à jour. Les appareils Nexus et Pixel sont garantis de recevoir une mise à jour pour une durée d'au moins deux ans dès leur disponibilité sur Google Store, on assure aussi que dès qu'il est disponible, l'appareil recevra des patchs de sécurité pour une durée d'au moins 3 ans, ou pour une durée d'au moins 18 mois depuis que l'appareil a été dernièrement vendu sur Google Store, la période la plus longue étant celle retenue.

L'idéal serait que Google prolonge cette période, mais il ne faut pas oublier qu'eux au moins communiquent clairement leur engagement aux utilisateurs. (Apple et Samsung n'assurent pas de dates “limites d'utilisation”). Nous dépendons énormément de nos smartphones — les personnes à revenu faible qui n'ont pas accès à un ordinateur ni au haut débit dépendent le plus de ces appareils. Riche ou pauvre, nous méritons tous de savoir combien de temps nous pourrons utiliser nos appareils de manière sécurisée ainsi que les mesures que les sociétés adoptent pour nous protéger.

Nathalie Maréchal est un membre senior de Ranking Digital Rights, elle est aussi doctorante à l'école Annenberg de Communication et de Journalisme à l'Université de Californie du Sud. Vous pouvez la suivre sur @marechalUSC.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.