Les smartphones sont-ils dangereux?

G Data, la société allemande qui propose des solutions de sécurité, persiste à dire que les logiciels malveillants actifs (“sauvages”) n’existent pas pour les smartphones. “Depuis janvier 2009 et jusqu’à aujourd’hui, G data a détecté 404.318 nouvelles formes de malware et seulement 95 (0.024%!) d’entre elles visaient les téléphones intelligents.”

G Data, la société allemande qui propose des solutions de sécurité, persiste à dire que les logiciels malveillants actifs (“sauvages”) n’existent pas pour les smartphones. “Depuis janvier 2009 et jusqu’à aujourd’hui, G data a détecté 404.318 nouvelles formes de malware et seulement 95 (0.024%!) d’entre elles visaient les téléphones intelligents.”

C’est bien possible, répondent les experts en sécurité de F-Secure, Kaspersky, McAfee et S-Mobile entre autres, mais selon eux, ce n’est qu’une question de temps avant que de véritables problèmes apparaissent. “Au début des années ’90, on n’accordait pas non plus beaucoup d’attention aux virus informatiques et voyez ce qu’il en est aujourd’hui,” a mis en garde Joe Hagin le 24 avril sur la chaîne business CNBC. Joe Hagin, qui est l’ancien secrétaire général adjoint du président Bush, est aujourd’hui président de S-Mobile International, spécialisée dans les solutions de sécurité pour les téléphones portables.

Ce n’est pas un hasard si les “messagers du malheur” travaillent soit pour des entreprises qui vendent elles-mêmes des solutions anti-malware pour les GSM, soit pour des entreprises qui donnent des conseils en la matière. Ce n’est peut-être pas étonnant non plus que G Data ne vende pas de logiciels de sécurité pour les smartphones. Selon notre collègue Stefan Grommen (voir la rubrique Ctrl+Alt+Del), s’il y a bien un constat indéniable, c’est que les utilisateurs réguliers de smartphones se font plumer. Et avec diversité en plus : soit par le vendeur roublard de logiciels probablement inutiles, soit par un hacker qui réussit quand même à propager avec succès le premier virus pour GSM.

La discussion est menée sur le fil du rasoir. Et il y a beaucoup d’argent en jeu. Quelle attitude adopter en tant qu’utilisateur ou en tant qu’administrateur? Peut-être faire appel à notre bon sens? On ne peut pas nier les statistiques de G Data. Le risque qu’un GSM soit infecté par un malware est infime. D’autant plus si le GSM n’est pas un Windows Mobile, mais tourne par exemple sous BlackBerry, Symbian, MacOS ou Linux. Il est en effet étonnant que les experts parlent des GSM en général, alors qu’ils désignent en fait les GSM sous Windows si vous lisez leurs analyses en détail. La plupart des solutions de sécurité sont d’ailleurs destinées aux smartphones sous Windows. Quant à savoir maintenant si Windows Mobile est “plus dangereux”, ou si c’est dû au fait que Microsoft a un SDK plus ouvert que la concurrence, je ne me prononcerai pas. Car, vous l’avez peut-être déjà oublié, mais il n’y a pour le moment aucun virus dangereux pour les smartphones. Et pour les smartphones Windows Mobile non plus!

Au Data TestLab, nous avons testé dans le passé à plusieurs reprises des solutions anti-malware pour les smartphones Windows Mobile. Par manque de véritable virus pour les GSM, nous avons surtout analysé la gestion et la charge du système. C’est surtout là que se situent les problèmes. De tels logiciels utilisent une très grande partie des sources système pourtant déjà limitées de Windows Mobile. Et ce système d’exploitation pour GSM n’est pas le roi de la rapidité. En installant une solution anti-malware, vous le rendez encore plus lent. Tant qu’il n’y aura pas une solution de malware testée et approuvée pour les GSM, je préfère courir ce risque somme toute minime.

Les experts feraient d’ailleurs mieux de s’occuper des avertissements pertinents au sujet des dangers des smartphones. La communication n’est pas cryptée de bout en bout et peut donc être interceptée. Les informations parfois sensibles que les utilisateurs conservent sur leur smartphone ne sont souvent pas (suffisamment) cryptées non plus. Les données contenues dans un GSM volé ou perdu sont faciles à lire par celui qui le veut. Il n’existe pas de méthode fiable pour effacer la mémoire d’un smartphone dont on veut se débarrasser. Les entreprises de sécurité devraient plutôt travailler au développement de solutions à ces problèmes et à tous les autres véritables problèmes de sécurité que posent les smartphones.

Jozef Schildermans est journaliste et directeur du Data Testlab, un laboratoire indépendant de test de matériel et de logiciels. http://www.villapc.be