|
 Rien ne va plus entre les fournisseurs de solutions de sécurité et Google. Chris DiBona, son responsable des programmes Open Source et Secteur public les accuse, dans un billet de blog, de se comporter en charlatans.
Chris DiBona, responsable des programmes Open Source et Secteur Public de Google, n’est pas tendre avec les éditeurs d’anti-virus. Selon lui, depuis des années, ces éditeurs «jouent sur vos peurs pour vous vendre leurs logiciels de protection pour Android, RIM et iOS. Ce sont des charlatans. Si vous travaillez pour une entreprise vendant des protections contre les virus pour Android, RIM ou iOS, vous devriez avoir honte de vous-même». Voilà ce que l’on peut appeler un gros pavé dans la mare.
Son écho est d’autant plus retentissant que les rapports trimestriels des spécialistes de la sécurité commencent à tomber. McAfee, par exemple, vient tout juste de publier son rapport pour le 3ème trimestre 2011. Et l’on peut y lire que « les logiciels malveillants pour mobiles ont encore augmenté au 3ème trimestre. La plateforme Android continue d’être la cible privilégiée des cybercriminels, avec une augmentation des menaces de 37 %», par rapport au second trimestre. Au total, McAfee recense plus de 1200 échantillons de code malveillant pour terminaux mobiles, dont près d’une centaine pour Android - contre aucun au premier trimestre 2010. Pour Websense, la troisième tendance lourde de 2012 sera le ciblage, par les cybercriminels, des terminaux mobiles : «ce phénomène est prédit depuis de nombreuses années mais il n’a réellement débuté qu’en 2011. »
Au printemps, c’était Cisco qui jetait de l’huile sur le feu. Henry Stern, ingénieur sécurité du CSIRT de Cisco expliquait que les progrès réalisés sur le poste de travail allaient déplacer la menace vers les plateformes mobiles qui, selon lui, offrent souvent des vulnérabilités comparables. Et en février, les mobiles constituaient clairement un sujet vedette de la conférence RSA de San Francisco.
Pour partie, Denis Maslennikov, analyste chez Kaspersky, ne contredirait probablement pas Chris DiBona : lorsque nous l’avions interrogé, en février dernier, il reconnaissait bien volontiers que la menace restait très limitée pour iOS : « on a bien vu deux logiciels malveillants apparaître fin 2009, mais ils ne concernent que les terminaux jailbreakés. » En ce qui concerne la plateforme Blackberry, il indiquait alors n’avoir découvert que des logiciels espions - commerciaux de surcroît.
Pour Chris DiBona, «aucun téléphone mobile majeur ne souffre de problème de virus au sens traditionnel, que l’on a vu sur les machines Windows et parfois sur Mac. Il y a eu quelques petites choses mais elles ne sont pas allées très loin en raison des modèles d’isolement des processus (sandboxing) et de la nature des noyaux sous-jacents ». Denis Maslennikov relevait de son côté, lors de notre entretien, l’existence de logiciels visant à «détourner certaines fonctions du téléphone pour gagner de l’argent», en envoyant par exemple des SMS surtaxés à l’insu de l’utilisateur. Et c’est sans compter sur des chevaux de Troie permettant de construire des botnets et autres réjouissances.
En fait, Chris DiBona semble avoir à la fois tort et raison, et pêcher simplement par maladresse. En fin de billet, il souligne être sûr que des gens vont « maintenant évoquer quelque ver ou logiciel malveillant téléchargé sur un App Market [...] ce qui entraînera une discussion sans rapport avec le sujet ». Las, le sujet est amené par Chris DiBona lui-même sur le terrain de la sécurité des mobiles. Et les faits ne plaident pas totalement en faveur de son argumentaire.
Mais le responsable des programmes Open Source de Google veut d’abord tordre le cou à l’idée selon laquelle Open Source rimerait avec insécurité. Et là, un audit du code d’Android mené par Coverity en 2010 lui donne largement raison. Pour établir son rapport, le spécialiste de l’analyse de code source avait étudié la version 2.6.32 (Froyo) d’Android : 359 bogues découverts, dont 25 % classés très critiques... des chiffres largement inférieurs à la moyenne enregistrée par d’autres projets Open Source. Coverity concluait d’ailleurs que « le noyau Android utilisé par le HTC Droid Incredible [le terminal étudié, NDLR] contenait presque moitié moins de bogues que la moyenne généralement constatée pour un logiciel de cette taille ».
Toutefois, Coverity émettait quelques réserves quant aux briques de code propres à Android - celles qui ne font pas partie du noyau Linux. Celles-ci souffraient d’une densité de défauts supérieure à la moyenne. Mais ces défauts profitent de l’ouverture du code pour être rapidement corrigés.
Reste un point souvent reproché à Android et passé sous silence par Chris DiBona : la fragmentation de la communauté. Coverity n’avais pas manqué de le souligner : Android, comme l’Open Source en général, repose sur des centaines de contributeurs, provenant de Google, de la communauté Android et des constructeurs OEM de terminaux. Difficile, en somme, d’appréhender Android, sous l’angle de la sécurité comme sous d’autres, à la manière d’un écosystème monolithique et homogène.
Egalement sur le MagIT :
Le Conseil Général des Bouches du Rhône virtualise et sécurise ses postes de travail
HP rapproche ses systèmes critiques Integrity des Xeon
|
Avec une croissance de 22% de ses revenus sur son deuxième trimestre fiscal, la division logiciels de HP pourrait passer pour la dernière activité à fort potentiel de croissance du groupe.
Les prestations de services Cloud offertes par les SSII donnent des couleurs au marché mondial de l’outsourcing, de même que les SSII indiennes, nous apprend aujourd’hui le cabinet d’analystes Gartner.
La société de financement de distribution et de services IT annonce le recrutement de Marc Julien au poste de directeur des acquisitions et suivi intégrations. Il était jusqu’à présent directeur 
D’ici à 2014, HP prévoit de se séparer de 8% de son effectif, soit 27.000 collaborateurs. Ses résultats trimestriels ne sont pas bons avec un recul de 3% du chiffre d’affaires et de 28% des bénéfices. 
SAP a annoncé mardi soir le rachat de l’éditeur de solutions d’e-commerce BtoB en mode cloud Ariba au prix de 45 dollars l'action, ce qui valorise la société à 4,3 milliards de dollars. 
Selon Gfk, les ventes de biens d’équipement de la maison – qui intègrent le marché micro-informatique BtoB - ont baissé au premier trimestre. Et ce malgré la hausse constatée dans les télécoms et les tablettes.
Les revenus du constructeur ont reculé de 4% à 14,4 milliards de dollars, entraînés par la chute de 5% des ventes de produits et notamment la glissade des ventes aux particuliers (-12%).
L’éditeur spécialisé dans les solutions de sauvegarde, de partage et de dématérialisation de fichiers en ligne Oodrive vient de racheter CertEurope, qui propose une gamme étendue de solutions SaaS