Sécurité, Android a des années de retard face à iOS

C’est la conclusion lancée par Matthew Green, cryptographe et professeur à l’Université Johns Hopkins. Selon lui Android est un sacré retard en matière de sécurité face à son concurrent iOS signé Apple.

Cette position ne va pas manquer de remettre de lui sur le feu entre les fans d’Apple et les adeptes d’Android. Ce sujet est l’un des plus polémiques de l’industrie du smartphone. Quelle est la solution la plus performante en matière de sécurité ?

Android et le chiffrement, il y a encore des étapes à franchir

Matthew Green explique que le principal problème d’Android réside dans les choix fait par Google. Le géant aurait considéré le smartphone comme un PC. A l’évidence il n’est pas toute à fait la même chose bien qu’un terme d’architecture un smartphone est un ordinateur. Les usages sont par contre très différents et il est facile de constater que rien n’encourage un utilisateur à éteindre son smartphone. Du coup les clés de chiffrement sont constamment chargées en mémoire vive.

Selon cet expert en systèmes destinés à chiffrer, authentifier et assurer l’intégrité de données , cette situation est dangereuse

” Depuis que les batteries de téléphone permettent une journée ou un peu plus en autonomie, le chiffrement n’a pas vraiment évolué pour mieux se protéger contre une personne qui arrive à prendre la main sur le smartphone”

Pour faire simple, il note que nous avons un système « Full Disk Encryption (FDE) » qui chiffre l’unité de stockage au niveau des secteurs du disque. Cette posture propose une approche du tout ou rien. En sachant que les utilisateurs veulent un système répondant, les clés cryptographiques ne sont jamais expulsées de la mémoire vive. A ses yeux  « ce n’est pas bon ».

iOS, une protection forte pour les fichiers contenant des données sensibles

Du côté d’Apple, l’approche est différente. La solution proposerait une meilleure protection depuis l’arrivée d’iOS 4. La firme est à l’origine d’une fonction “data protection” qui chiffre toutes les données stockées sur le périphérique.

Contrairement à Android, Apple n’utilise pas un cryptage complet du disque. L’approche exploite un chiffrement basé sur les fichiers eux même. Ils sont tous protégés individuellement avec une clé unique par fichier. Elle est de plus cryptée à son tour.

Ce système permet d’avoir un contrôle d’accès bien plus précis basé sur plusieurs profils dont une protection complète, une protection jusqu’à l’authentification de l’utilisateur et aucune protection. Il y a même  quatrième niveau pour les applications qui ont besoin de créer de nouveaux fichiers chiffrés lorsque la clé de profil n’est plus disponible en mémoire vive. La solution utilise un chiffrement à clé publique pour écrire ces nouveaux fichiers.

Matthew Green explique alors

« En donnant aux développeurs la possibilité de protéger individuellement les différents fichiers, Apple a permis de construire des applications qui peuvent fonctionner pendant que l’appareil est verrouillé, tout en fournissant une protection forte pour les fichiers contenant des données sensibles […] L’approche d’Apple n’est pas parfait. Ce qu’il l’est, cependant, c’est un résultat évident d’un processus de longues et minutieuses réflexions.”

 

Google tente d’introduire un système de sécurité similaire mais il y a encore du chemin à parcourir. La dernière version d’Android, Android 7 Nougat a donné naissance au Direct Boot mais pour Matthew Green ce n’est pas suffisant.