Jump to content

Sécurisez votre téléphone


abdess47
 Share


Recommended Posts

il va peut-être falloir m'expliquer, mais je ne comprend pas en quoi le root est dangereux dans la mesure où lorsqu'une application réclame ces droits,

il y a une boite de dialogue qui demande de confirmer. Ca fonctionne comme le contrôle de compte de Windows 7 on dirait. Vous confirmez ?

...

Pour être complet, "on lit un peu partout" que rooter son Android donnes un accès complet.

Ce n'est pas vrai (et c'est tant mieux).

1°) Comme bob000 l'a signalé, il y a une protection. Il faut encore demandé explicitement ce droit root.

2°) rooter n'est pas s-off. Je renvoi à ce tuto qui est le plus explicite dans ce que j'ai trouvé : http://www.forum-htc-dev.net/t31606-tutos-off-hboot-alpharev-15-passer-en-full-root-custom-et-stock-roms.

Edited by philippe_PMA
Link to comment
Share on other sites

  • Replies 58
  • Created
  • Last Reply

Top Posters In This Topic

J'en pense quoi ?

Je sais pas trop.

Comme je l'ai déjà écris, nous sommes déjà largement pistés.

L'objectif est commercial, mais il ne faudrait pas que ça tombe dans de mauvaises mains ...

A partir de là, chacun voit selon sa conscience de la nécessité de conservée sa vie privée, privée.

Edited by philippe_PMA
Link to comment
Share on other sites

Techniquement, c'est vider des caches et / ou empêcher de les remplir (pas lu suffisamment sur le sujet) ?

C'est un peu comme interdire les cookies avec son navigateur. C'est plutôt bien.

En même temps, il faut savoir de qui on se protège ?

De sa femme ou de son mari, c'est surement efficace.

De commerciaux entreprenants, pas sûr que ce soit complétement suffisant. La moindre recherche googolesque peut être archivée et corrélée à un identifiant quelconque (et revendu) ...

D'un gouvernement un peu trop sécuritaire, ça sera pas suffisant.

Edited by philippe_PMA
Link to comment
Share on other sites

Salut, je me demandais si le fait d'installer un antivirus style AVG sur un androphone était nécessaire ou pas encore ? Merci.

Je vais faire plusieurs réponses.

- Anti-Windosien par conviction / Fervant Linuxien : Windows c'est tout pourris. Avec Linux (ou Android) tu n'auras aucun problème : besoin de rien.

- Parano de première : Oui. Un anti-virus. Et aussi un firewall, un antispam, un antirootkit, un anti ... (ça c'est moi, et beaucoup d'autre, avec Windows, et aussi utilisation d'un non administrateur pour l'usage quotidien !).

- Utilisateur éclairé : bah, si tu n'installes pas n'importe quoi dés que l'on t'en parles sans faire une recherche minimale (une petite recherche sur le Net), si tu vérifie un minimum si les permissions demandées sont cohérentes avec l'application, si tu ne te connecte pas n'importe où, si tu fermes ton Wi-Fi et ton 3G quand tu n'en as pas besoin, si tu supprimes immédiatement tout SMS, MMS dont tu ne connais pas l'origine, idem pour les e-mails *(cf. ci-dessous), je pense que tu peux t'en passer. Mais ça fait beaucoup de si (et j'ai du en oublier), et es-tu sûr de les respecter tous ?

- Monsieur tout le monde ou Madame tout le monde : Heu ?! Si je veux la garantie étendue à 5 ans ? Bah, c'est plus sûr, Mr le vendeur ? Oui. Bon bah d'accord alors. Ah, il faut aussi un anti-virus ? Bon si vous le dîtes ! C'est vous le spécialiste. D'accord.

Je suis bien conscient que je n'ai pas donné une réponse très formelle : oui - non. Pour ma part, aujourd'hui, je pense qu'il faut tenter d'être utilisateur éclairé. D'un autre coté, ça demande un certain investissement que tout le monde n'a pas prévu en achetant son téléphone ou son forfait deux ans ... Et en plus, il faut faire attention en permanence ...

Pour avoir tenté de "former" des non-informaticiens de ma famille à la sécurité sur PC, je constate que ça les fait bien "chier". Et ceci, même après qu'ils ait été "virussé" plusieurs fois. Ils se posent bien des questions et cherchent à comprendre mais c'est dur d'accepter toutes ces contraintes.

* pour les e-mails, je n'y avais pas encore pensé (je n'utilise pas d'e-mail sur mon Android, pas encore en tout cas), mais c'est clairement un bon vecteur de contamination. En tout cas, c'est ce que je me dis quand je vois le nombre de mails que je reçois de "magasins" où j'ai un compte qui ont dû se faire pirater leur bases de données (ou qui l'on revendu) ... Pourquoi je dis ça et comment je le sais ?

C'est simple, sur mon PC (Linux ou Windows) avec Thunderbird, je constate que je reçois des e-mails dont je ne vois pasle contenu et où il faudrait que j'autorise le téléchargement des images pour que je puisse tout voir et donc lire le mail. L'adresse de l'expéditeur est bien, apparemment, une enseigne chez qui j'ai un compte et à qui j'ai laissé mon adresse e-mail. Mais si je passe avec le curseur sur les images ou les liens (cliquez ici pour ceci ...) je peux apercevoir en bas de la fenêtre Thunderbird, les adresses correspondantes, et souvent elles n'ont rien à voir avec l'enseigne qui correspond à l'e-mail de l'expéditeur du mail ... Dans ce cas, surtout ne pas cliquer mais supprimer immédiatement et définitivement l'e-mail.

D'ailleurs, cela m'a amené a utiliser plusieurs adresses e-mails ... Donc, une adresse e-mail pour Android. Et cette adresse est a donner uniquement a des personnes de confiances.

Edited by philippe_PMA
Link to comment
Share on other sites

Ce n'est pas tellement un lien !

J'ai Lu quelque part (je ne sais Plud où) qu'il fallait éviter d'installer des applications de type anti-virus, cryptage ...

C'est applications demande beaucoup de droits soit:

- elles peuvent envoyer des données

- les virus se porte de plus en plus sur ces applications... (je ne parle pas forcément du code de l'application qui envoie des données) je parle aussi des applications type jeu, utilitaires etc... qui essayent d'accéder (et y arrivent parfois) au données de vos applications de protection et ont donc ainsi accès à toutes vos données!

Message envoyé avec l'application Forum Frandroid

Edited by XxH0M3RxX
Link to comment
Share on other sites

Ce que je pense c'est qu'aujourd'hui on ne sais pas ou passe les informations que l'on a sur notre téléphone ( sms, photo, mail, téléphone,...) c'est pire que Windows, car à mon sens android est un système jeune et dont la sécurité est à travailler. Mais pour la plus part des propos avec philippe_PMA je suis plutôt d'accord avec lui même si je suis pas expert en informatique.

Link to comment
Share on other sites

Je vais faire plusieurs réponses.

- Anti-Windosien par conviction / Fervant Linuxien : Windows c'est tout pourris. Avec Linux (ou Android) tu n'auras aucun problème : besoin de rien.

- Parano de première : Oui. Un anti-virus. Et aussi un firewall, un antispam, un antirootkit, un anti ... (ça c'est moi, et beaucoup d'autre, avec Windows, et aussi utilisation d'un non administrateur pour l'usage quotidien !).

- Utilisateur éclairé : bah, si tu n'installes pas n'importe quoi dés que l'on t'en parles sans faire une recherche minimale (une petite recherche sur le Net), si tu vérifie un minimum si les permissions demandées sont cohérentes avec l'application, si tu ne te connecte pas n'importe où, si tu fermes ton Wi-Fi et ton 3G quand tu n'en as pas besoin, si tu supprimes immédiatement tout SMS, MMS dont tu ne connais pas l'origine, idem pour les e-mails *(cf. ci-dessous), je pense que tu peux t'en passer. Mais ça fait beaucoup de si (et j'ai du en oublier), et es-tu sûr de les respecter tous ?

- Monsieur tout le monde ou Madame tout le monde : Heu ?! Si je veux la garantie étendue à 5 ans ? Bah, c'est plus sûr, Mr le vendeur ? Oui. Bon bah d'accord alors. Ah, il faut aussi un anti-virus ? Bon si vous le dîtes ! C'est vous le spécialiste. D'accord.

Je suis bien conscient que je n'ai pas donné une réponse très formelle : oui - non. Pour ma part, aujourd'hui, je pense qu'il faut tenter d'être utilisateur éclairé. D'un autre coté, ça demande un certain investissement que tout le monde n'a pas prévu en achetant son téléphone ou son forfait deux ans ... Et en plus, il faut faire attention en permanence ...

Pour avoir tenté de "former" des non-informaticiens de ma famille à la sécurité sur PC, je constate que ça les fait bien "chier". Et ceci, même après qu'ils ait été "virussé" plusieurs fois. Ils se posent bien des questions et cherchent à comprendre mais c'est dur d'accepter toutes ces contraintes.

* pour les e-mails, je n'y avais pas encore pensé (je n'utilise pas d'e-mail sur mon Android, pas encore en tout cas), mais c'est clairement un bon vecteur de contamination. En tout cas, c'est ce que je me dis quand je vois le nombre de mails que je reçois de "magasins" où j'ai un compte qui ont dû se faire pirater leur bases de données (ou qui l'on revendu) ... Pourquoi je dis ça et comment je le sais ?

C'est simple, sur mon PC (Linux ou Windows) avec Thunderbird, je constate que je reçois des e-mails dont je ne vois pasle contenu et où il faudrait que j'autorise le téléchargement des images pour que je puisse tout voir et donc lire le mail. L'adresse de l'expéditeur est bien, apparemment, une enseigne chez qui j'ai un compte et à qui j'ai laissé mon adresse e-mail. Mais si je passe avec le curseur sur les images ou les liens (cliquez ici pour ceci ...) je peux apercevoir en bas de la fenêtre Thunderbird, les adresses correspondantes, et souvent elles n'ont rien à voir avec l'enseigne qui correspond à l'e-mail de l'expéditeur du mail ... Dans ce cas, surtout ne pas cliquer mais supprimer immédiatement et définitivement l'e-mail.

D'ailleurs, cela m'a amené a utiliser plusieurs adresses e-mails ... Donc, une adresse e-mail pour Android. Et cette adresse est a donner uniquement a des personnes de confiances.

Merci pour ta réponse claire à mon goût. Comme je suis assez prudent avec ce que je fais avec mon tél, je pense donc qu'il ne m'est pas nécessaire de mettre un antivirus. ;)

Link to comment
Share on other sites

Hello ici...

Je m'intéresse au sujet également.

Je suis en train de lire ceci : http://arxiv.org/ftp/arxiv/papers/0912/0912.5101.pdf

Je me suis dit que ça vous intéresserait sans doute.

J'en suis à la moitié du document.

C'est un très bon document.

Long a lire, car sérieux (dans le bon sens du terme) et aussi car en anglais (...), mais c'est du bon. Je ne peux pas dire si tout reste valable, mais surement.

Ce que je peux déjà en dire :

- Les mécanismes de sécurité mis en œuvre par Android sont bons (ça c'est mon avis) et sont bien sûr perfectible.

- Le problème principal reste l'interface entre la chaise et le clavier (ce n'est pas de moi mais c'est très vrai), autrement dit : l'utilisateur.

Ce que je peux vous dire pour l'instant, concernant l'interface entre la chaise et le clavier (et que j'ai déja dit pour partie) :

- Ne pas installer n'importe quoi. Le market c'est ce qu'il y a de plus sûr (ça je ne l'avais pas encore dit), mais ce n'est pas une garantie complète.

- Vérifier les permissions demandées : très important. Ne pas installer une application qui demande des permissions qui ne sont pas cohérentes avec les objectifs de l'application ... Éventuellement demander le pourquoi au développeur de l'application et s'il peut les retirer le cas échéant.

- Si j'ai bien compris, installer une application en déposant directement l'apk sur la carte (i.e. sans passer par le market) "bypass" le mécanisme de vérification des permissions. => A vérifier. Donc ce n'est pas terrible.

- Le client Web (tout du moins le toolkit sur lequel il s'appuie) a déjà connu des failles, donc prudence dans vos surfs.

Un truc amusant, il faut se méfier des permissions demandées par des applications venant du même développeur ! En effet, une application peut demander la permission de lire vos données, et l'autre application de se connecter au net. Et ces deux applications, étant du même développeur et donc avec la même signature, peuvent avoir demandé la permission de communiquer avec les applications de même signature. Donc, l'une collecte vos données, les communique à l'autre application et cette dernière les envoie où bon lui semble !

Link to comment
Share on other sites

Bon, j'ai fini la lecture du document.

Ce qui me vient c'est : pas de recette miracle.

Normal.

Je ne vais pas faire un compte-rendu de lecture. Pas trop le temps, ni l'envie. En tout cas pas maintenant.

Si d'autre l'on lu, nous pouvons en discuter.

Par contre, il y a plusieurs choses qui me sont venue à l'esprit.

En premier lieu, la sécurité dépend de Google et des contributeurs :

- Est-ce que Google est prêt à corriger rapidement les failles découvertes ?

- Est-ce que Google tient compte des contributions ? Des conseils ?

Ça ne dépend pas trop de nous, utilisateur lambda. Quoi que, il doit bien y avoir un moyen de remonter nos avis à Google.

Par exemple, Google pourrait mettre en place un firewall minimal avec iptables et intégrer de base SELinux.

La sécurité dépend aussi des développeurs de ROM customisées (pour ceux qui root leur androphone) :

- Est-ce que les développeurs de ROM customisées corrigent rapidement les failles découvertes ?

- Est-ce que les développeurs de ROM customisées tiennent comptes des contributions ? Des conseils ?

Ça dépend un peu plus de nous. Il est assez facile d'interpeler un développeur de ROM customisée sur XDA. Encore faut-il causer anglais et arriver à le convaincre.

Par exemple, les développeurs de ROM customisée pourraient mettre en place un firewall minimal avec iptables et intégrer de base SELinux.

Oui, je sais je me répète ;-)

Et la sécurité dépend aussi beaucoup, très beaucoup, des développeurs d'applications :

- Est-ce que les développeurs d'applications corrigent rapidement les failles découvertes ?

- Est-ce que les développeurs d'applications tiennent comptes des contributions ? Des conseils ?

Un peu comme les développeurs de ROM customisées. Quoi que, c'est un peu plus "du tout venant" en terme de niveau technique et de sensibilisation à la sécurité.

C'est même, encore une fois, pour moi, le point le plus sensible. Les applications (et ceux qui les installent sans réfléchir).

Autant la customisation d'une ROM s'appuie sur une base déjà bien sécurisée, autant le développeur d'application fait beaucoup plus ce qu'il veut ...

Maintenant que nous avons vu les autres, parlons de nous.

Le sécurité dépend de son profil d'utilisateur :

- Est-ce une utilisation privée ou professionnelle ?

- Est-ce que j'ai des pratiques prudentes ou pas ?

- Est-ce que je suis prêt à prendre des risques inconsidérés, mesurés ou pas du tout de risques ?

- Est-ce que je utiliser toute les possibilités de mon smartphone et donc ses moyens de communications en tout genre (surf, mails, SMS, MMS, bluetooth) et ses divers services (géolocalisation, météo, etc) ?

- Est-ce que la fonction principale reste le téléphone et le reste est occasionnel ou même jamais utilisé ?

Bref, pour moi, en conclusion, il faut définir son profil d'utilisateur et à partir de là quelle sécurité mettre en place.

J'ai quelques petites idées sur le sujet.

Je pense que je vais ouvrir un autre sujet pour en parler et en discuter avec ceux qui veulent.

En attendant, n'hésitez par à intervenir.

Link to comment
Share on other sites

Pour info, je continu mon enquête sur Droid Wall et sur ce que ça fait exactement.

Entre autre, je poursuis la lecture du sujet Droid Wall sur XDA : http://forum.xda-developers.com/showthread.php?t=541380. C'est passionnant. Par contre, il y a 441 réponses. Ça va me prendre un peu de temps ;-)

Où en est ont enquête pour droidwall parce que je l'ai testé et pour moi je ne sais pas si c'est efficace.

Link to comment
Share on other sites

Nom du soft LOOKOUT

Type de protection antivirus, scan des applications, récupération de données, anti vol

Prix : gratuite

Testé : oui, n'ayant pas à l'heure actuelle assez de recul, je ne me prononce pas, mais cette application a été utilisé par google ( si je dis pas de connerie)

Lien vers l'appli : sur le market ICI

ss03204801602dd5d2e58a9.jpg

Uploaded with ImageShack.us

ss1320480160297bfe946a5.jpg

Uploaded with ImageShack.us

Edited by abdess47
Link to comment
Share on other sites

tu pourrais déplacer ce post dans la section ? stp

Bonjour,

Je ne suis pas du staff de frandroid.

Seul un administrateur ou modérateur peut le faire.

Mais ce serait une bonne initiative pour lancer la section sécurité.

Link to comment
Share on other sites

Peut-être faut-il MP un modérateur pour le lui demander alors ? Ce serait dommage que ce sujet tombe aux oubliettes d'ici quelques semaines.

@Philippe : j'ai lu le document mais n'ai pas le temps pour un long message maintenant.

Juste pour répondre à ta question sur la bypass de l'autorisation "manuelle" de l'utilisateur, la seule méthode qui bypass réellement ceci est l'installation en ligne de commande via adb. Pour les deux autres méthodes, il y a une sécurité minimale.

Lorsqu'on installe à partir d'une apk sur la carte SD, via une appli du genre APKinstaller, le Package Installer est sollicité et lance un avertissement de sécurité du style "attention, source inconnue" (ça j'en suis sûre) et demande (peut-être, ça je n'en suis pas sûre...) les permissions à l'utilisateur.

En fait, le Package Manager, comme ils le disent dans le document, est un service système tandis que le Package Installer est l'application associée qui va faire l'interface avec l'utilisateur, et donc lui demander les permissions qui vont bien. Le risque réside dans l'appel au Package Manager seul.

Link to comment
Share on other sites

Bonjour,

Je ne suis pas du staff de frandroid.

Seul un administrateur ou modérateur peut le faire.

Mais ce serait une bonne initiative pour lancer la section sécurité.

c'est bon modo contacté, wait and see

Edited by abdess47
Link to comment
Share on other sites

Où en est ont enquête pour droidwall parce que je l'ai testé et pour moi je ne sais pas si c'est efficace.

J'ai répondu dans le post #22.

DroidWall effectue un filtrage des connexions sortantes. Tu l'utilises soit en mode liste blanche, c'est-à-dire que tu indiques les applications autorisées à se connecter. Soit en mode liste noire, c'est-à-dire que tu indiques les applications auxquelles tu interdit l'accès au réseau. Il vaut mieux fonctionner en liste blanche. C'est ce qu'il y a de plus sûr (pas de risque d'oublier d'interdire quelque chose, juste inconvénient d'oublier d'autoriser quelque chose).

DroidWall permet d'éviter la fuite d'informations via Internet (à condition d'autoriser que des applications sûres ...). En ce sens c'est bien un outil de sécurité.

Par contre, il ne permet pas d’empêcher les tentatives d'accès frauduleux du réseau vers son androphone.

Mais, c'est à moduler car, par défaut, Android ne met pas en place de service à l'écoute du réseau (c'est dans le document).

Pour conclure, DroidWall est un bon outil.

Il peut être installé pour sauvegarder sa batterie et pour empêcher la fuite d'informations.

Edited by philippe_PMA
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share




×
×
  • Create New...