Apps douteuses : fausses ou légitimes? Entretien avec Lukáš Štefanko

Fausses ou légitimes : telle est la question

Un entretien avec Lukáš Štefanko d'ESET, sur la mince ligne qui sépare les véritables applications de sécurité de celles qu’on pourrait qualifier de « fausses ».

Un entretien avec Lukáš Štefanko d’ESET, sur la mince ligne qui sépare les véritables applications de sécurité de celles qu’on pourrait qualifier de « fausses ».

L’analyse effectuée par ESET des applications questionnables découvertes sur Google Play, qui prétendent être des applications de sécurité ou antivirus, ont laissé des questions sans réponse. Lukáš Štefanko, qui a réalisé cette recherche, nous parle de ses conséquences plus larges.

Shady apps

Dans cet article, vous décrivez ces applications comme étant douteuses, déguisées en logiciel de sécurité… Nous avons l’habitude d’appeler de telles applications « fausses ». Qu’est-ce qui a motivé le changement de terminologie utilisé pour décrire les applications en question?

Tout d’abord, aucune de ces applications ne mérite d’être qualifiée d’application de sécurité. Leur fonctionnalité est presque nulle – et, compte tenu des faux positifs que ces applications génèrent et du fait qu’elles créent un faux sentiment de sécurité chez les victimes, leur effet net sur la sécurité est négatif.

Cependant, elles comprennent certaines fonctionnalités qui pourraient être étiquetées comme une fonctionnalité de sécurité, si elles n’étaient pas si primitives ou si mal implémentées, voir les deux. À mon avis, ces caractéristiques n’ont pas été conçues dans un souci de sécurité. De toute évidence, l’objectif des auteurs est de nous empêcher de qualifier leurs applications de fausses. Et, plus important encore, pour éviter que ces applications soient rapidement supprimées de Google Play.

Leurs efforts n’ont été que partiellement récompensés. L’équipe de sécurité de Google Play n’a pas été aussi rapide que d’habitude pour retirer ces applications du magasin. Cependant, aucune de ces applications n’est plus disponible pour téléchargement.

Il y a peut-être quelque chose que les responsables de la sécurité de Google ne considèrent pas comme primitif ou mal implémenté….

Eh bien…. J’ai fait des recherches approfondies sur les applications et je suis presque sûr qu’aucun expert en sécurité raisonnable ne pourrait les trouver utiles de quelque façon que ce soit.

À mon avis, c’est plutôt une question de capacité et de priorités du côté de Google. D’une part, ces applications trompent clairement les utilisateurs, puisque leurs noms et descriptions promettent la sécurité, mais qu’elles ne font que diffuser des publicités. D’autre part, même les applications dangereuses parviennent parfois à passer les défenses de Google et sont affichées, sur Google Play avant d’être supprimées après la découverte de leur vraie nature.

En ce qui concerne les capacités de sécurité, ces applications douteuses simulent principalement des listes blanches et des listes noires. Bien qu’il n’y ait rien de mal avec ces techniques en théorie, leur effet est dans ce cas au mieux nul. Quelques noms de paquets dans les listes sont mis sur liste noire pour toujours et, plus important encore, aucun nouvel élément ne peut être ajouté. Les applications n’ont pas de mécanisme de mise à jour, ce qui signifie qu’elles ne peuvent pas détecter de nouvelles menaces.

Pouvez-vous imaginer une solution de sécurité efficace qui soit complètement statique, sans aucun accès aux connaissances les plus récentes sur les menaces?

Très franchement, c’est exactement ce que les fournisseurs de sécurité de la prochaine génération prétendent être leur plus grand avantage par rapport aux fournisseurs de sécurité établis…

Écoutez, ces allégations exagérées de marketing par les vendeurs post-vérité, comme nous les appelons, est un tout autre sujet. Et d’ailleurs, même eux doivent mettre leur modèle à jour de temps à autre…

Ce qui est important avec les applications questionnables dont nous discutons ici, c’est qu’elles s’appuient sur des listes primitives pour distinguer ce qui est bon et ce qui est mauvais. Et ceux-ci contiennent des douzaines d’articles. En comparaison, c’est plutôt des centaines ou même des milliers d’articles dans le cas des produits créés par de véritables fournisseurs de sécurité avec de vrais moteurs d’analyse. Les bases de ces applications douteuses ne peuvent pas être mis à jour, alors que les véritables fournisseurs de sécurité mettent à jour leurs bases de données plusieurs fois par jour – sans parler de la sécurité en nuage qui fonctionne en temps quasi réel, comme c’est le cas pour la plupart des fournisseurs de sécurité.

Permettez-moi de résumer. En vérité, ces applications douteuses ne présentent aucun avantage réel pour les utilisateurs de smartphones et tablettes Android, et devraient être évitées.

Privilégiez plutôt une solution de sécurité mobile réputée. Idéalement, choisissez une solution qui obtient de bons résultats lors de tests indépendants. Par exemple, AV-Comparatives, qui est une organisation d’essais respectable, a récemment publié son rapport sur la sécurité mobile. À mon avis, ce rapport mérite d’être lu.

Discussion