Tout savoir sur : L’application « Sécurité » des mobiles Xiaomi n'était pas assez sécurisée
CheckPoint Software est une entreprise relativement connue dans l’univers des antivirus, au même titre que Norton, Kaspersky, Avast ou ESET. Elle développe plusieurs solutions dont la plus connue dans le grand public s’appelle ZeoneAlarm. Il s’agit d’une boîte à outils classique combinant antivirus, firewall et d’autres briques de sécurité (antispam, anti-randsomware, protection des données personnelles, bac à sable et analyse temps réel, etc.). Il s’agit donc d’un spécialiste de la sécurité.
Un couteau suisse de la sécurité...
Fin de semaine dernière, l'éditeur a émis un nouveau rapport sur une vulnérabilité que ses chercheurs ont découvert dans une application mobile. Cette application s’appelle Guard Provider. Elle est préinstallée sur tous les smartphones de Xiaomi sous le nom de « Sécurité » (tout simplement). Vous la retrouvez sur l’écran d’accueil principal de MIUI (comme sur le Mi 8 que nous avons testé en décembre dernier). Guard Provider est une boîte à outils qui combine de nombreuses fonctions : protection antivirus, nettoyage du système, optimisation du mobile et coffre fort électronique pour les fichiers sensibles.
Xiaomi Mi 8
C’est donc dans une application de sécurité qu’une faille de sécurité a été découverte. Une situation qui provoque évidemment après coup un certain malaise. L’origine de cette faille est la nature « boîte à outils » de l’application Sécurité. CheckPoint explique que celle-ci est en fait un enrobage comprenant plusieurs outils hétérogènes, provenant de différents développeurs spécialisés. Parfois, certains outils intégrés sont de même nature. Il y a notamment trois antivirus différents.
... pas assez sécurisée
Cependant, Sécurité est considéré par Android comme une application unique. Ce qui veut dire que tous les modules intégrés partagent leurs informations sensibles et leurs droits d’accès au système d’information. Ce qui laisse suffisamment de place aux hackers pour agir et ouvrir une porte dérobée pour inclure du code malveillant. Et une fois que le code malveillant est introduit, les données des utilisateurs ne sont plus protégées.
Avant de publier l’information, CheckPoint a bien sûr prévenu la marque chinoise qui a rapidement publié une mise à jour qui comble la faille. Sécurité est donc de nouveau… sécurisée. Toutefois, cette mésaventure soulève plusieurs interrogations. D’abord, un constructeur de smartphones peut-il développer une solution de sécurité pour Android ? Le principal problème n’est en effet pas ici dû aux modules spécialisés, mais à l’imbrication de ces modules.
La préinstallation est-elle vraiment nécessaire ?
Ensuite, pourquoi ne pas proposer, comme cela se faisait avant, des solutions de sécurité spécialisées et homogènes ? Ainsi, le constructeur confie la sécurité des données des usagers à un partenaire de confiance, sans avoir à investir en développement. En outre, la visibilité est monétisable. Enfin, ne vaudrait-il pas mieux proposer aux utilisateurs plusieurs alternatives depuis le Play Store (ou une boutique applicative alternative) et non imposer une boîte à outils complète (parfois même trop complète) que les utilisateurs n’utilisent pas forcément ?