Mis à jour le 13 septembre avec les détails du nouvel avertissement de cheval de Troie Android.
Ne vous y trompez pas : Google rapproche Android de l’iPhone. Les membres les plus fervents du fan club d’Android n’apprécieront peut-être pas que je le souligne, mais cela n’enlève rien à la véracité de cette remarque. Cela ne signifie pas qu’Android n’est pas innovant ou que l’iPhone ne s’en inspire pas ; cela signifie simplement qu’en matière de sécurité, Android escalade la montagne qui a longtemps constitué le grand fossé entre les deux écosystèmes.
C’est le cas d’un nouvel avertissement qui est sur le point de toucher des millions de téléphones, avec la mise en ligne de la dernière mise à jour de la plateforme Play, qui sous-tend Android. Cela entraîne une nouvelle répression du sideloading et des failles de sécurité béantes qu’il crée dans les appareils Android du monde entier.
Comme Autorité Android explique : « L’API Google Play Integrity permet aux applications de vérifier si votre compte est « sans licence », ce qui signifie que vous n’avez pas installé ou acheté l’application sur Google Play. Plus important encore, l’application peut alors afficher une boîte de dialogue de correction qui vous indique qu’elle doit télécharger l’application sur Google Play pour continuer à l’utiliser. »
Ce changement signifie que les applications peuvent vérifier que Play Protect est en cours d’exécution sur un appareil, ce qui est de plus en plus présenté comme la principale défense des utilisateurs Android contre le fléau des logiciels malveillants qui continue de sévir sur les appareils. Les applications peuvent vérifier l’intégrité d’un appareil et d’une installation à tout moment, en supposant que cela se produira lors de l’installation, du lancement et probablement lors de transactions sensibles.
Ce changement a été présenté en avant-première lors de la conférence Google I/O de mai, avec la société expliquant Les développeurs peuvent « appeler l’API Integrity à des moments importants de votre application pour vérifier que les actions et les demandes des utilisateurs proviennent du binaire de votre application non modifié, installé par Google Play et exécuté sur un véritable appareil Android ». Selon Android Authority, cette fonction « est déjà utilisée par certains jeux pour bloquer le chargement latéral ».
Si l’API Integrity émet un signalement, l’utilisateur sera averti que l’application est une « version non reconnue » et qu’elle « sera supprimée, ainsi que toutes les données associées ». Google prend cette mise à jour au sérieux, car elle renforce les défenses autour de Play. Non seulement elle empêche les utilisateurs de contourner ces avertissements, mais elle signale également les installations non Play aux développeurs d’applications, de sorte qu’ils peuvent alors décider de continuer à autoriser l’accès.
Ajoutez à cela les autres mises à niveau de sécurité à venir avec Android 15, et il est clair que la porte stable est enfin verrouillée. « Il va devenir de plus en plus difficile pour les utilisateurs expérimentés de justifier le rootage d’Android », déclare Autorité Android. « Dans le même temps, les utilisateurs réguliers seront mieux protégés contre les interactions potentiellement risquées et frauduleuses. »
Cette dernière nouvelle fait suite à la répression encore plus ferme de Samsung sur le sideloading, avec sa décision d’appliquer par défaut des restrictions maximales sur ses appareils. Le défi pour la base d’utilisateurs Android les plus exigeants sera de trouver le bon équilibre, en autorisant des comportements plus souples que ceux de l’iPhone tout en protégeant la grande majorité des utilisateurs quotidiens. Et même si les avertissements Android continuent d’apparaître chaque mois, en particulier concernant les installations hors Play Store, il est clair que cela est plus que nécessaire et attendu depuis longtemps.
On s’attend désormais à ce que de plus en plus d’applications adoptent Play Integrity, qui, selon Android Authority, « est déjà utilisé par de nombreuses applications populaires sur Google Play, notamment Stripe, Uber et TikTok ».
Avec un timing parfait, un nouveau rapport de Groupe IB vient de mettre en évidence le risque d’installer des applications provenant de l’extérieur du Play Store. Leur analyse du malware Ajina « révèle des tentatives intensives d’utilisation des plateformes de messagerie, notamment Telegram, comme canal de diffusion d’échantillons malveillants. Ajina a orchestré une campagne à grande échelle en créant de nombreux comptes Telegram, exploitant ces comptes pour diffuser des logiciels malveillants dans les discussions communautaires régionales. Les preuves suggèrent que ce processus de distribution a peut-être été partiellement automatisé, permettant une propagation plus efficace et plus étendue du logiciel malveillant. »
Le niveau de sophistication était ici marqué, avec des cadeaux et des récompenses offerts dans les chats Telegram locaux, certains de ces leurres étant déguisés en sources légitimes. Ce malware bancaire typique, une fois installé, était destiné à voler des codes SMS et des identifiants. L’objectif était un simple gain financier. Et ça a fonctionné.
Nous avons vu plusieurs campagnes qui ont dissimulé des logiciels malveillants derrière des installations et des mises à jour d’applications apparemment légitimes, c’est pourquoi cette dernière initiative de Google est essentielle, permettant aux développeurs d’attester de la légitimité de chaque téléchargement.
Alors que nous nous débarrassons tous chaque semaine d’innombrables tentatives de phishing et de smishing, la pointe de cet horrible iceberg est déployée de manière beaucoup plus astucieuse. « Pour améliorer leur tromperie », explique Group-IB, « Ajina a conçu des messages et envoyé des liens et des fichiers pour attirer les utilisateurs sans méfiance. Le malware se fait souvent passer pour des applications bancaires, gouvernementales ou utilitaires du quotidien légitimes, conçues pour exploiter la confiance que les utilisateurs placent dans ces services essentiels afin de maximiser les taux d’infection et d’inciter les gens à télécharger et exécuter le fichier malveillant, compromettant ainsi leurs appareils. »
Même si ce malware n’a pas été diffusé via les canaux de Google ou le Play Store, son service Play Protect défend les utilisateurs contre la menace. Mais il s’agit manifestement d’un jeu du chat et de la souris, les acteurs malveillants déployant des leurres toujours plus sophistiqués et des logiciels malveillants trompeurs pour échapper aux défenses jusqu’à ce qu’ils soient pris.
Le passage au Play Store n’est pas une solution miracle, car de nombreux exemples d’applications malveillantes s’y cachent également. Mais il est matériellement plus sûr que n’importe quel magasin tiers ou installation directe. Ses défenses sont également renforcées par deux nouvelles innovations notables de Google, qui se combinent pour changer la donne pour les utilisateurs d’Android.
Le premier plan de Google est de supprimer les applications de mauvaise qualité du Play Store, ce qui devrait relever sensiblement la barre et éliminer une grande partie du contenu vide qui encombre les téléphones des utilisateurs. Le deuxième est l’introduction de la détection des menaces en direct avec Android 15, qui utilise l’IA sur l’appareil pour signaler les comportements des applications qui pourraient indiquer la présence de logiciels malveillants ou d’autres menaces.
En résumé, Android est entré dans une nouvelle ère. Mais quant à savoir s’il peut réellement combler le fossé en matière de sécurité et de confidentialité avec l’iPhone, suivez cet article…