Version imprimable du sujet

Écrit par : Lionel 4 Jul 2013, 13:43

La société http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/ annonce avoir découvert une faille de sécurité touchant l'essentiel des appareils sous Android. Cette faille permet de modifier le paquet d'une application, le contenu de son code, sans que sa signature électronique ne soit modifiée. En résumé, il est possible avec cette faille d'installer dans un logiciel légitime du code malveillant sans qu'il soit possible de le détecter avant l'installation.
Une fois un ver installé sous Android il serait donc possible de prendre un contrôle total des appareils concernés.

La découverte de cette faille promet un énorme casse-tête pour Google et ses partenaires. Remontant à Android 1.6 elle touche donc des appareils dont les mises à jour ont cessé. Il faudra doit soit les abandonner à leur sort soit proposer des mises à jour ce qui sera très compliqué étant donné la segmentation du marché Android, chaque constructeur devant à peu de chose près proposer sa mise à jour spécifique.

[Màj] google a annoncé avoir comblé la faille en question. La société a distribué le nouveau code aux fabricants de mobiles qui vont devoir maintenant proposer (ou pas) des mises àjour spécifiques à leurs clients.
C'est certainement une faiblesse d'Android par rapport à iOS puisque l'on a deux étages dans la distribution des nouvelles versions.
http://www.macbidouille.com/news/2013/07/10/une-faille-majeure-touche-99-des-appareils-android

Écrit par : LeFrettchen 4 Jul 2013, 13:55

Tu parles !

Sûr que celui qui vient de se payer un Android tout neuf, ça va le faire ch...
Mais celui qui a un Android 1.6 comme moi, rien à f.....
Me suffit d'en commander un autre chez mon opérateur, y'en a plein à 1 euro.

Écrit par : SartMatt 4 Jul 2013, 14:16

Je pense que ça va emmerder Google à peu près autant que la faille JailbreakMe 2.0 à emmerdé Apple à l'époque. En clair, tant pis pour ceux qui ont un vieux système, ils n'ont qu'à racheter du neuf

Écrit par : UAB_Kub 4 Jul 2013, 14:17

pour LeFrettchen : bizarre, mais j'aurais dit exactement le contraire...

Écrit par : jt_69.V 4 Jul 2013, 14:37

En fait ça les arrange plutôt en leur fournissant un argument de plus pour dire aux gens d'acheter un nouveau téléphone avec la nouvelle version d'Android

Écrit par : Stéphane.P 4 Jul 2013, 14:38

En même temps, ça implique d'installer des applications depuis une source autre que le Playstore.

Écrit par : Princo22 4 Jul 2013, 14:56

+1
La réponse est presque dans la question, application non certifiée = risque. Ils ne vont probablement même pas se presser pour corriger sur les derniers haut de gamme.

Écrit par : Bug 4 Jul 2013, 15:04

En même temps c'est un peu l'argument fétiche contre iOS.

Écrit par : LeFrettchen 4 Jul 2013, 15:05

Je comprends pas bien.

Pour toi donc, c'est celui qui vient de se payer un Android tout neuf, et qui pourra faire facilement la mise à jour, qui sera le plus embêté ?

Ou c'est le fait de racheter un nouvel Android (à 1 euro) pour remplacer un modèle 1.6 (vieux de 3 ans) qui va gêner les acheteurs ?

Bien sûr que celui qui a acheté son smartphone en 2012, lui il va râler, mais un modèle en version 1.6...


Edit : et encore, la news de Lionel est fausse à ce sujet.
La faille existe depuis Android 1.6 AU MOINS, mais ça remonte peut-être même avant.

Écrit par : GStepper 4 Jul 2013, 15:24

Je me souviens d'un "débat" avec SartMatt il y a quelques temps à propos d'un problème de sécurité sur Android ou iOS je ne sais plus trop.

En substance je lui disais que si je n'étais pas capable de lui donner une faille sur Android cela ne voulait pas dire pour autant qu'il n'y en avait pas…

CQFD

Écrit par : Bug 4 Jul 2013, 15:33

On dirait que non vu qu'il est dit : «unnoticed by the app store», une application légalement postée sur le GPlay peut recéler un trojan.

Et Google a déjà beaucoup de soucis niveau modération des crap/malware...

Windows/MacOS l'histoire répète oui, dans tout les mauvais sens.

Écrit par : Ze Clubbeur 4 Jul 2013, 15:35

Moi, ce qui m'interpelle, c'est comment ça se fait qu'il n'y a pas un sumCheck au moment du téléchargement de l'application ? C'est quand même pas compliqué de faire un md5sum...

Écrit par : Bicougnot 4 Jul 2013, 15:38

On en revient toujours aux histoires de choix:
- iOS : App Store only, sécurisé
- Android : Play Store & n'importe quel fichier .apk venant de n'importe où
- OSX : App Store & n'importe quel fichier dmg/app/pkg venant de n'importe où

Pour moi le niveau de sécurité (sur ce point précis) d'Android est du niveau de OSX. Si on veut être sûr de rien chopper, on prend tout sur l'App Store. Sinon, on peut aussi récupérer de l'open source et le compiler (OSX comme Android), ou bien récupérer des binaires sur des sites de confiance (OSX comme Android)...

Certes, il y a une faille, qui permet de masquer du code malveillant dans une appli d'apparence légitime. Mais si on sait d'où vient son appli binaire, on peut prendre ce risque. Je n'ai sur mon MBA aucune appli venant de l'App Store, pourtant j'ai pas de problème de sécurité avec les 150 binaires téléchargés et exécutés chaque semaine dessus.

Ca n'a pas de rapport avec la faille, on peut cacher du code malveillant dans une appli, la signer et la mettre sur le Play Store (ou App Store). Ca fera une appli avec du code malveillant, sans aucune histoire de faille liée à la signature du code compilé de l'application.

Écrit par : jumera 4 Jul 2013, 16:00

Est-ce que cette faille a un rapport avec les failles de Java ?

Écrit par : Bicougnot 4 Jul 2013, 16:19

Je précise ma réponse: ce qui est dangereux, c'est de prendre une mise à jour d'appli de confiance depuis un site non fiable.

Sur Android les applis sont de deux types: système ou utilisateur. Les applis systèmes sont celles inclues lors de l'achat du téléphone ou lors de l'installation de la dernière mise a jour système (ou n'importe laquelle en étant root et en sachant le faire). Les applis utilisateurs sont celles installées sur le play store, ainsi que les mises à jour des applis système (oui, une bonne partie du système est mis à jour via le play store).
Les applis systèmes ont tous les droits, ce qui justifie le texte alarmiste "Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed.".

Maintenant avec cette faille. Un méchant prend l'appli officielle, modifie le code compilé qui est dedans, utilise la faille pour repackager l'appli modifiée, mais qui pourtant passe les systèmes de vérification de signature du code d'Android (c'est ça la faille).
Ensuite, ce méchant doit fournir ce fichier à ceux qu'ils veulent pirater. Il ne peut pas le mettre sur le play store officiel car il n'a pas la possibilité d'uploader son fichier .apk à la place du propriétaire de l'appli. Il peut pas non plus la publier en tant que nouvelle appli, car elle doit avoir un package name différent, et s'il est différent la faille tombe à l'eau.
Son seul moyen de distribuer son code malveillant passe donc en dehors du store: échange bluetooth (bien que l'envoi de .apk soit bloqué par défaut en général), téléchargement sur internet, mail, etc. Mais il faut aussi que l'utilisateur ait coché la case autorisant l'installation d'applis depuis une autre source que le play store. Je sais pas le chiffre, mais j'imagine qu'il y a moins d'un pour cent d'utilisateurs qui ont coché cette case.

Donc pour qu'il utilise les tous les droits fournis aux applis système, il doit faire en sorte que l'utilisateur choppe son .apk et le fasse accepter de mettre à jour une appli système.
S'il le fait pour une appli non système, ça restera dans la sandbox de l'appli en question, c'est à dire en fonction des autorisations de cette appli et de celles nouvellement demandées par la fausse mise a jour.

L'utilisateur aura de toute façon l'obligation de 1) télécharger le .apk depuis ailleurs que le play store, et 2) valider expressément la mise a jour d'une appli déjà installée, avec un écran avertissant les différentes modifications (mais malheureusement a cause de cette faille ne validant pas la fausse signature numérique de cette update).

Je pense pas qu'il y ait de grands risques...

Écrit par : yponomeute 4 Jul 2013, 16:35

Je sens qu'on va encore parler de la théière de Russel.

Écrit par : GStepper 4 Jul 2013, 16:49

- Non, "I don't want to believe !"

Mais dans le cadre de la connaissance (ou non) de faille logicielle, absence de preuve != preuve de l'absence.

Écrit par : Summerin 4 Jul 2013, 16:49

Perso je préfère la philo OS X à celle d'iOS.
Tout comme celle d'Android à celle d'iOS, on peut s'en servir en clé usb, on peut installer ce qu'on veut, depuis que j'ai des android j'ai jamais eu de soucis.
Remarque je n'en ai déjà pas sur OS X ni sur Windows...

La sécurité est quand même un bel argument.

Écrit par : r@net54 4 Jul 2013, 17:25

Je pense que ce que voulais dire Lionel était diffèrent.

Cette faille va faire émerger dans l'esprit du consommateur deux des point faibles d'Android: son aspect insecure et sa fragmentation.

Il est evident que Google ne va pas faire grand chose pour les appareils existants et pour cause: Android est libre et a part les quelques appareils vitrines produit sous son nom, Google n'est pas responsable de l'OS de la majorite des appareils sur le marche.
Plus encore, l'OS etant libre, c'est aux constructeurs de le corriger (appliquer le patch dans une mise a jour) et de gérer les clients!

Donc le probleme de la responsabilité va emerger dans l'esprit des utilisateurs.

Mais cela est probablement aussi une opportunité pour Google pour converger plus encore vers le modèle d'Apple.
Face a ce problème, Google mettra en evidence l'irrationalité des multiples versions existantes d'Android (versions archaïques de l'OS et modification comme les surcouches), arguera qu'il lui est impossible de prendre en charge des OS aussi varies et "eloigne" de l'Android de base. Et la Google pourrait alors lancer un programme de certification permettant de controler ce que font les constructeurs et operateurs avec son OS et limiter les modifications. Ce qui ne manquera pas d'irriter la communauté opensource, mais vu que la majorite du marche s'en fout de toute manière, ca ne changera pas grand chose:(

Cette histoire expose aussi un gros problème concernant la majeure partie du marche Android: le milieux et bas de gamme.
Produire des smartphones bas de gamme et a prix minima impose aussi des restrictions au niveau du support en plus des couts (matériels et logiciels).
Avant l'arrivee d'iOS puis d'Android la situation etait simple: l'OS etait un composant de l'appareil, il était spécifique et relativement simple. Sa mise a jour n'etait que limitee et marginale et de toute façon peu d'utilisateurs imaginaient meme mettre a jours leurs telephone.

Apple a alors redéfini le marche en transformant le smartphone en ordinateur multiconnecte mobile et avec un OS a part entière avec ses applications et son marche applicatifs.
iOS comme Android sont donc des OS complets et complexes qui n'ont pas grand chose a voir avec les systemes précédents. Or qui dit complexité dit aussi multiplication des risques de failles... Et qui dit ajout d'applications issues du marche dit risque de malware.

Les gens se sont donc habitues a voir un iPhone qui pouvait accueillir plusieurs évolutions majeurs diOS et d'acquerir le refexe qu'il avaient avec les PC.
Apple peut faire ca parce que iOS tourne sur des machines haut de gamme et ayant une bonne marge de rentabilité.
Pour le constructeur lambda qui va produire du smartphone bas de gamme a prix tires, cette approche est impossible, et c'est pourquoi c'est le modèle "dumbphone" qui regit une grosse majorité de produits Android. Et la se pose donc un très gros problème...

Donc, dans tous les cas cette situation va provoquer un électrochoc sur le marche et Google va devoir réagir avec ou contre les constructeurs...

Écrit par : GregWar 4 Jul 2013, 17:36

Non, dire qu'Android est Java est un abus de langage.
A la limite on pourrait dire qu'une App Android s'écrit en Java, mais le compilateur ne produit pas de bytecode Java. En général il n'y a pas de porosité des failles.

En plus, la faille ici est plus liée aux outils de packaging et vérification de signature qu'au langage lui même.
En gros, ils ont trouvé un moyen d'ouvrir l'enveloppe, changer le contenu de la lettre, mais de laisser l'emballage intact, et le sceau de l'émetteur également.

Écrit par : harvey 4 Jul 2013, 19:25

On est au delà de Big BROTHER…

Écrit par : Dreaming 4 Jul 2013, 19:36

Et réciproquement.

D'ailleurs, Symantec avait publié un rapport il y a quelques mois indiquant que iOS était beaucoup moins sécurisé intrinsèquement, mais qu'Android avait plus d'intérêt et de possibilités d'exploiter ces faiblesses. En voilà une preuve.



Je ne sais pas si c'est de la science fiction ou de l'anticipation à long terme. Parce que pour l'heure, Google n'a montré aucun véritable signe en ce sens.


Pas tout à fait ; ce n'est pas une question d'impossibilité, c'est juste une volonté de ne pas assurer un suivi longtemps en bas de gamme, pour pousser au renouvellement rapide d'appareils peu chers, mais avec une marge quand même. Mon Tattoo a disparu du marché pour laisser place au Wildfire à 80% identique, qui lui a eu droit à Android 2.0, alors que le mien, bernique. Et HTC recommence ses conneries avec le One S qui n'aura pas droit à la dernière mise à jour.

Écrit par : FolasEnShort 4 Jul 2013, 20:57

"Il neige suuuuuur la faill'majeu-eure"...

Écrit par : Papalou 4 Jul 2013, 21:09

Quoi ? Une fille majeur touche 99% des produits Androïd ? Mais elle a combien de mains pour arriver à en toucher autant ?

Écrit par : codeX 4 Jul 2013, 21:35

Si c'est Symantec qui le dit il n'y a donc aucun doute à avoir. Au fait, c'est quoi leur métier à ces gens là ? Pour dezinguer il y a sûrement plus crédible que les dires d'un vendeur de logiciel dit de sécurité. Mais bon, faut faire avec ce que l'on a et comme on a peu, on fait peu.

Écrit par : Summerin 4 Jul 2013, 22:05

C'est beau de rêver...
Les 3/4 des gens ne sont pas sur les forums et n'en sauront rien.
Que ce soit Apple, Google, MS ou autre, ces news là ne sont utiles que pour une minorité d'acheteurs.

Déjà pour beaucoup de gens, les majs ils s'en tapent.

Il faut légèrement relativiser.

Écrit par : bad_duck 4 Jul 2013, 22:16

J'aime bien ce genre de raisonnement...
On passe de "Android est un système qui contient une faille" (je résune la news) à "iOS qui ne permet pas d'installer des apps hors store est sécurisé" !

Écrit par : elbacho 4 Jul 2013, 22:39

Il y a une différence entre 99 % de smartphone Android touché par une faille majeure pour 2 à 3 % d'iPhone, de plus cette faille serait connu de Google depuis le mois de Février et seul le Galaxy S4 la comble ... donc acheter du neuf , ça veut dire acheter une Galaxy S4 .

Le studio qui produit Dead Trigger parlait de 80 % de piratage ... on se doute bien qu'ils ne sont pas passé par Google Play .

Écrit par : SartMatt 4 Jul 2013, 23:15

La faille Jailbreak Me 2.0 ne concernait pas 2 à 3% d'iPhone, mais 100% des iPhone.

Et en pourcentage du parc total Android, ça faisait combien ces 80% ?

En plus, vu la méthodologie employée pour la mesure, ce 80% à de bonnes chances d'être faux... Si tu relis l'interview d'Anna Porizkova, elle explique que pour arriver à ce 80%, ils ont comparé le nombre d'appareils ayant exécuté le jeu d'après un outil de statistiques au nombre d'unités vendues sur le Play Store ("We use Localytics and compare these statistics to units that were sold - and paid - on Google Play").
Sauf que quand tu as plusieurs appareils Android, tu peux utiliser toutes tes applis sur tous les appareils, c'est pas pour autant que c'est du piratage... Ayant eu 3 appareils Android différents (deux smartphones et une tablette), avec une telle méthodologie je compterais déjà comme 66% de piratage

Écrit par : elbacho 4 Jul 2013, 23:43

Bien sur, comme cette faille sur Android a aussi touché aussi 100 % a un moment ... mais plusieurs mois après elle touche encore 99 %, et toujours 100 % des modèles autre que le Galaxy S4 on verra bien en combien de temps elle ne touchera plus que 2 ou 3 %, vu la fragmentation d'Android et le peu de suivi des constructeurs c'est pas gagné !

Autre exemple Football Manager le taux de piratage atteignait 90 % d'après Sports Interactive ...

Le piratage sur Android était même possible via une application proposé sur Google Play, Aptoide qui proposait ensuite un store alternatif, elle a été retiré en Mars 2013, mais elle est toujours disponible au téléchargement sur internet et elle à bénéficié de "publicité" sur de nombreux site.

Il y a même eu l'intervention du FBI en Aout 2012 pour fermer 3 sites internet distribuant des copies d’applications pour Android ( applanet.com, appbucket.net, snapzmarket.com).

Écrit par : zero 5 Jul 2013, 03:38

Tout faux !

Il ne faut pas confondre "de n'importe où" et "de source officiel".
Il ne faut pas non plus faire l'amalgame avec "de source store unique" et "source sûre" ou avec "de source store multiple" et "source pas sûre".
un store unique apporte que peu d'avantages réels. La sécurité n'est à peine améliorée car il est facile de dissimuler des trojans dormants auquel Apple/Google n'y verrait que du feu. (Il y a eu déjà des cas révélés. Les applications concernées sont retirées en douce.)
Ça peut même être pire puisse si l'utilisateur se croit mieux protégé.

Par source officiel, je veux dire applications qui viennent du site du développeur. (normalement ce n'est pas son intérêt que son logiciel soit pas sûr.)

Le grand avantage d'un "store unique" est pour celui qui le contrôle en fait. Parce que pour l'utilisateur, à part simplifier la recherche d'un logiciel (et encore, c'est discutable), il n'y a que des désavantages.

Écrit par : noxious73 5 Jul 2013, 05:21

Pour ceux qui restent dans le modèle "subventionné".

C'est clair, net et précis qu'en dessous d'un certain besoin de confort en téléphonie - temps d'appel, volume de data, double sim, ou SAV ou tous services qui peut lui être utile - c'est pas le modèle le plus avantageux pour le consommateur.

Sincèrement se rengager 2 ans pour avoir un portable assez moyen à 1€ et payer plein pot : ça va bien 5 minutes. Dn plus, si c'est pour remédier à un connerie de faille logiciel ... !!!

Écrit par : zorphil 5 Jul 2013, 06:39

It's not a fail, it's a feature...

Écrit par : Youri777 5 Jul 2013, 07:43

Ca ne va rien changer du tout. Tous les systèmes leaders sont attaqués. Les gens ont l'habitude avec Windows. C'est le même cas ici. Quand iOs était leader les malwares n'existaient tout simplement pas sur Android.



Angrybird est gratuit sur Android. Le modèle économique n'est pas le même. Certains cabinets de conseil prédisent même la fin du jeu payant. Les nouvelles sources de revenus sont la pub et les achats in-apps.
Pour reprendre ton exemple MadfingerGames a fait des jeux payants téléchargés entre 10 000 et 50 000 fois. Un de leur jeux a eu plus de succès entre 100 000 et 500 000 téléchargements. Ils sont passés au gratuit financé par la pub et les achats in-app avec Dead Trigger, résultat entre 10 millions et 50 millions de téléchargement.

D'après tout mon entourage le piratage est très loin d'être un critère pour le choix d'Android, la plupart ne savent même pas que c'est possible et ceux qui sont au courant n'en vois pas l'intérêt vu le nombre d'app gratuite.

Écrit par : Dreaming 5 Jul 2013, 07:56

L'argument classique quand on parle de sécurité et d'Apple.... Attention, je ne dis pas "tu as tout faux", mais en l'occurrence, il faut voir plus loin que le bout de cette phrase toute faite. Je viens d'aller voir ce que proposait Symantec sur l'App Store : des applications de cryptage et décryptage de données, de partage de données cryptées, d'intégration en réseau d'entreprise... mais pas d'application servant spécifiquement à dénicher des failles de sécurité, à prévenir les dommages, ou d'antivirus. Ils ne gagnent rien à dire qu'iOS est moins sécurisé qu'Android. Au contraire : leurs applications sont gratuites pour iOS, alors qu'il y a des applications de sécurité payantes pour Android.

Dans ces conditions, leurs affirmations me paraissent nettement plus crédibles que celles d'amateurs qui n'ont pas leur expertise et qui se disent "de toutes façons, Apple offre la sécurité". Après, on peut aussi se shooter à la méthode Coué.

Écrit par : Youri777 5 Jul 2013, 08:00

http://www.01net.com/editorial/593775/en-2012-ios-a-ete-beaucoup-plus-vulnerable-qu-android/

Écrit par : iRed 5 Jul 2013, 08:04

Oui bon, c'est relatif:

Écrit par : elbacho 5 Jul 2013, 08:15

Personne n'a dis que l'on choisissait Android uniquement pour pirater plus facillement des applications.Mais cela n'empêche pas que cette plateforme pirate énormément.
Si le modèle économique du Free Play c'est imposé c'est justement pour essayer de contrer le piratage , mais 10 millions et 50 millions de téléchargement en Free Play ne veut pas dire plus d'argent que 10 000 et 50 000 téléchargement payant.

Une plateforme qui pirate autant est plus succeptible d'être touché par la faille en question, il est difficle de faire la différence entre un jeux gratuit sur le Google Play et le même jeux gratuit sur un autre store ou n'importe quel site internet, voir même au travers d' un "ami" qui te dit que de toute façon il est gratuit alors tu peux le copier ...surtout lorsqu'il s'agit d'adolescent .


Il ne faut pas confondre le nombre de faille et le nombre de faille facilement exploitable ... voir juste exploitable.
Il suffit de voir le nombre de malware sur chaque plateforme ....

Écrit par : Dreaming 5 Jul 2013, 08:39

C'est bien à cette étude que je faisais référence.


Et c'est bien ce que je disais dans mon premier message qui parlait de cette étude. On pourrait considérer qu'iOS est une citadelle avec des murailles difficile à passer, mais à l'intérieur, les maisons sont en paille : une étincelle, et tout flambe. A l'opposé, Android a des murs moins solides avec des passages qui mènent au donjon : il faut connaître les chemins de la poudrière pour faire des dégâts.

Écrit par : Youri777 5 Jul 2013, 08:40

en prenant les bornes hautes et leur gros succès, 500 000 ventes 2 000 000 piratages. (80%). En gratuit 50M de téléchargements. Tu arrives à 0.04% de pirates (0,004% pour les autres jeux), les autres se contentant des jeux gratuits.
Android est la plateforme du gratuit pas du piratage.


Le jailbreak n'est que l'exploitation d'une faille te donnant tous les droits. Ou les exploits de Miller.
C'est une question d'attrait, de rapport efforts/gains etc...
C'est ce que dit Symantec ou tout autre spécialiste de la sécurité.

Écrit par : Bicougnot 5 Jul 2013, 09:06

Tu n'as pas que résumé la news, mais aussi toute mon argumentation.
La faille ne concernant que les mises à jour d'appli existantes, les store (Play & App) sont parfaitement secure vis à vis des mises à jour effectuées depuis les stores. ie si tu as Google Maps, que tu l'upgrades via le Play Store, zéro risque. Si tu choppes une mise a jour venant de n'importe où pour bénéficier d'une fonction pas encore dispo etc, là tu t'exposes à cette faille.
Je n'ai pas parlé (sauf si je me suis mal exprimé) de la sécurité de l'OS total (Android comme iOS).

Belle preuve de nuanceN'importe où dans le sens partout ailleurs que le store officielOui, mais une fois de plus ça n'a rien à voir avec le sujet : la faille en question ne concerne que les MISES A JOUR d'une appli existante. Il n'y a pas et sauf si Google devient complètement débile, un trojan dans une appli de confiance déjà installée sur le téléphone.
En effet il y a déjà des trojans sur les stores, mais ça n'a rien à voir avec le sujet.

Écrit par : SartMatt 5 Jul 2013, 09:23

Comme tu es toujours très au courant de toutes les stats, je suis surpris que tu ais déjà oublié que sous iOS aussi certains développeurs se plaignent de taux de piratage de l'ordre de 80-90% (et même jusqu'à 95% : http://www.tuaw.com/2009/10/28/iphone-app-claims-95-piracy-rate/ )... Mais avec sans doute les mêmes biais de mesures que ceux que j'ai évoqués plus haut (comparer le nombre d'appareils utilisant l'application au nombre de ventes est forcément faux pour mesurer le taux de piratage).

Tiens, il y en a même un qui pour un même jeu indiquait avoir un taux de piratage 25% plus élevé sous iOS que sous Android : http://www.ubergizmo.com/2012/07/piracy-rates-are-higher-on-ios-than-on-android-developer-says/

Comme quoi, tes conclusions à l'emporte pièce sur le piratage sur la plateforme, elles valent ce qu'elles valent, c'est-à-dire pas grand chose...

Écrit par : FolasEnShort 5 Jul 2013, 11:48

Écrit par : LeFrettchen 5 Jul 2013, 13:07

J'avoue que ça m'a bien fait rire, merci

Écrit par : elbacho 5 Jul 2013, 13:35

Qui a dit qu'il n'y avait pas de piratage sur iOS ??? en quoi cela justifiait le pirate sur Android !
Je te rapplles le titre de la news "Une faille majeure touche 99% des appareils android" pas iOS

Après je ne me rappelles pas d'intervention du FBI pour du piratages d'application d'IOS, mais surement que le FBI avait aussi des conclusion à l'emporte pièce ... ou ils n'ont pas eu la bonne idée de te consulter.
http://www.frandroid.com/actualites-generales/109093_le-fbi-dit-stop-au-piratage-des-applications-android

Écrit par : marc_os 5 Jul 2013, 13:46

Selon la même source, si on lit le texte en entier et qu'on clique sur "Menaces" dans le graphique, on voit pour 2012:
Android : 103 malgiciels
iOS : 1 (un)
Windows Phone : 1
Ah, les chiffres !

Cf. aussi le commentaire de 01Net cité par iRed.

Écrit par : SartMatt 5 Jul 2013, 13:49

En rien... Mais comme tu sembles particulièrement insister sur le faite que "cette plateforme pirate énormément" alors que ça n'a aucun rapport avec le sujet, je tenais à te rappeler que ce n'est pas spécifique à "cette plateforme", et que ça concerne aussi les autres plateformes...

Alors bien sûr, le piratage est plus facile sous Android, ça je l'ai jamais nié. Mais prétendre que "cette plateforme pirate énormément" en se basant sur des chiffres de piratage discutables (méthodologie de calcul foireuse...) pour quelques applications, alors qu'on trouve des chiffres similaires (avec la même méthodologie foireuse) pour des application sous iOS, c'est vraiment du dénigrement gratuit, comme tu le fait toujours si bien...

C'est pas parce que le FBI n'a pas fermé de sites de ce genre pour iOS qu'il n'y en a pas eu. Et le fait est qu'il y en a eu (et il y en a encore d'ailleurs (et même certains qui marchent sans jailbreak...), une requête de 3 mots sur Google permet d'en trouver...), et je suis sûr que tu le sais très bien. En cherchant un peu, on trouve même un article qui pour présenter certains des services fermés par le FBI les qualifient de "des markets In******us pour Android". Je suppose que tu te rappelles bien de la plateforme ciblée par In******us avant qu'il ferme...

Nan mais je rêve là... Tu me rappelles le titre pour me signaler que je suis hors sujet, c'est ça ? Et c'est quoi le rapport entre le sujet et le taux de piratage des applications hein ? Parce que je te rappelle juste que le gros lourd de service qui a dévié du sujet en la ramenant avec ses histoires de taux de piratage, c'est pas moi, mais bien toi... Alors soit tu as la mémoire très courte, soit faudrait vous mettre d'accord dans ta tête...

Écrit par : Cernunnos 5 Jul 2013, 16:17

J'aime pas lorsque SartMatt attaque les personnes directement pour les décrédibiliser, je préfère l'argumentation.

Pour revenir à la news, je vais simplement dire ce que j'aurais dis pour iOS, OSX, Windows ou Linux : l'important ce n'est pas la faille mais si celle-ci est exploitable ET exploitée.
Tout le reste n'est, selon moi, qu'enculage de mouche

Écrit par : elbacho 5 Jul 2013, 16:57

Bien le rapport avec le piratage, vient du fait que cette faille permet de modifier les applications, donc ceux qui pirate seront plus facilement victime, alors que les utilisateur d'iOS, même ceux qui pirate autant que sur Android ne seront pas touché par la faille !
Une faille qui permet de modifier le contenu d'une application touche beaucoup plus facilement ceux qui pirate .

Écrit par : SartMatt 5 Jul 2013, 17:21

J'aime bien ce "donc", qui implique une conclusion, sans le moindre argument pour l'étayer...
Faille ou pas, ceux qui piratent sont de toute façon sur-exposés, puisqu'ils téléchargent des applications d'origine douteuse, sans aucun moyen de savoir si elle a été modifiée ou non. Sur tous les sytèmes aujourd'hui, d'Android à Windows en passant par iOS et Mac OS X, les applications crackées sont l'un des principaux vecteurs de malware, si ce n'est le principal.

Donc le mec qui s'emmerde a exploiter une faille de sécurité, c'est qu'il vise justement ceux qui ne piratent pas, ceux qui piratent étant facilement attaquables sans exploiter la moindre faille.

Ah ben c'est sûr que les utilisateurs iOS qui piratent sont pas touchés par une faille Android. Grande nouvelle que tu nous apprends là.

Par contre, les utilisateurs iOS qui piratent en le faisant via le jailbreak, ils sont tout aussi exposés à ce genre de failles, puisqu'il est dans ce cas aussi possible de modifier une application, les signatures n'étant pas vérifiées...

Et à priori, le danger de cette faille est même inférieur à celui auquel s'expose un utilisateur d'appareil jailbreaké (et dans une moindre mesure, un utilisateur d'appareil rooté), puisque d'après la description faite par Bluebox, cette faille ne permet pas d'outrepasser les privilèges dont disposait initialement l'application qui a été infectée. Alors que sur un appareil jailbreaké ou rooté, une application vérolée peut obtenir tous les privilèges. Pour pouvoir exécuter du code avec des privilèges élevés en exploitant cette faille, il faut aller modifier des applications système disposant d'un haut niveau de privilège, chose qui n'est à priori pas simple : en général, pour aller modifier une application privilégiée, il faut déjà avoir un niveau de privilège élevé. Et donc, sans une autre faille permettant une élévation de privilège (il y en a malheureusement sur bon nombre de terminaux...), cette faille ne permet pas de faire grand chose...

Écrit par : El Bacho 5 Jul 2013, 17:38

iOS n'a jamais été leader, ou bien ça a duré un trimestre tout au plus, au moment où les courbes de Symbian (+ RIM) et d'Android se sont croisées dans certains pays.

Sinon, iOS a toujours été au mieux numéro 2 en nombre d'exemplaires vendus sur une période donnée (donc pas d'appareils utilisés), et encore, ils ne le sont que depuis la fin 2011 sur le marché des smartphones :

http://en.wikipedia.org/wiki/Mobile_operating_system#Market_share

Écrit par : Dreaming 6 Jul 2013, 08:33

C'est bien de lire les sources citées.

C'est bien aussi de lire ce que les autres écrivent dans le sujet avant de le redire pour la troisième fois.

Écrit par : Summerin 7 Jul 2013, 21:07

Quand il s'agit des autres c'est mieux ?
Pour info, c'est argumenté, pas comme certains justement.

Écrit par : sectorone 11 Jul 2013, 05:00

Euh... Juste pour rire, y a t'il vraiment quelqu'un ici qui puisse croire que dans un cas équivalent (une faille majeure que toucherait IOS depuis sa version 1.6 ou même 2.x), Apple proposerait une mise-à-jour de sécurité pour les iPhones de première, seconde et troisième génération ?

Écrit par : SartMatt 11 Jul 2013, 08:29

C'est clair que les anciens appareils recevraient pas de mise à jour dans ce cas (qui s'est d'ailleurs déjà produit avec la faille Jailbreak Me 2.0, jamais corrigée sur les iPhone EDGE, alors qu'elle permet potentiellement de "briquer" l'iPhone avec un simple lien web...).

Mais faut reconnaitre quand même que dans le monde iOS le suivi des mises à jour reste globalement meilleur, les constructeurs Android ayant tendance à abandonner trop vite les mises à jour de leurs anciens modèles. Et certains constructeurs sont même lents à déployer les mises à jour sur leurs modèles courants. Je suis en 4.2 depuis des mois sur mon Nexus, alors qu'un collègue qui a un Galaxy Note 2 est encore en 4.1.