Selon Marc Rogers, expert en sécurité chez Lookout, il n’est pas plus difficile de hacker un iPhone qu’un terminal Android. Ce qui est rassurant, c’est que le risque de se faire infecter est globalement faible dans les deux cas.

Marc Rogers est un chercheur en sécurité chez Lookout, éditeur spécialisé dans la sécurité des terminaux mobiles. De passage à Paris, il nous donne sa vision du marché.

01net: Quel est globalement le niveau de sécurité sur les terminaux mobiles ?

Marc Rogers: Contrairement à ce que l’on pourrait penser, le risque d’être infecté par un malware sur un smartphone n’est pas très élevé, de l’ordre de 2 % en Europe. Et cela concerne principalement des spywares (logiciels espions) ou des adware (publiciels). Mais le risque n’est pas non plus très élevé sur un PC, à partir du moment où l’on fait attention à ce que l’on fait. Il ne faut pas écouter les discours qui font peur des fournisseurs d’antivirus.

Les malwares qui circulent actuellement sur les terminaux mobiles ne sont pas non plus très sophistiqués. Ils ont un degré de complexité comparable aux malwares PC des années 90. Mais cela évolue assez rapidement.

Est-on plus en sécurité sur iOS que sur Android ?

MR: Il est vrai qu’il y a actuellement plus de malware sur Android que sur iOS. Mais ce n’est pas lié aux propriétés intrinsèques des plateformes, dont les niveaux de sécurité sont comparables. C’est lié au fait qu’il y a plus cybercriminels travaillant sur Android que sur iOS. Sur le fond, il n’est pas plus difficile d’infecter un iPhone qu’un smartphone Android.

Verrouiller son smartphone par un code PIN, est-ce que cela sert vraiment à quelque chose ?

MR: Oui, absolument. Sur un terminal iOS, toutes les données sont chiffrées par défaut. Elles sont déchiffrées au moment où l’appareil est déverrouillé. Si vous protégez le déverrouillage de votre iPhone par un code PIN, il devient alors très difficile pour une tierce personne d’accéder aux données : seul le code PIN permet de les déchiffrer. Et je ne connais que trois personnes au monde qui sont capables de court-circuiter le code PIN sur un iPhone. Sur un terminal Android, c’est à peu près pareil : c’est le code PIN qui permet de déchiffrer les données à chaque déverrouillage.

Le chiffrement automatique des données sur iPhone a d’ailleurs considérablement compliqué le « jailbreak ». Avant, les jailbreak ne mettaient que quelques jours ou quelques semaines à apparaître. Maintenant, il faut des mois, voire des années.

En quoi la sécurité sur mobiles diffère-t-elle par rapport aux PC ?

MR: C’est l’usage qui change tout. Généralement, vous ne vous baladez pas dans la rue avec votre PC, et vous ne l’oubliez pas dans un taxi. Il faut donc adapter les stratégies de sécurité. Pouvoir localiser sur le web son terminal mobile perdu, c’est bien. Mais que se passe-t-il si la batterie s’est déchargée entre-temps ? C’est pourquoi nous avons introduit dans notre solution la fonctionnalité « signal flare » : lorsqu’un terminal est en train de se décharger, il communique automatiquement sa dernière position.

De la même manière, lorsqu’un voleur met la main sur un terminal mobile, la première chose qu’il fait est d’éteindre les connexions réseaux. Pour apporter plus de sécurité, on pourrait alors imaginer qu’un terminal se bloque automatiquement lorsqu’il est déconnecté trop longtemps.