Les smartphones n’ont pas besoin d’antivirus

Avec l’âge, la redondance des thèmes dans le domaine de la sécurité informatique a tendance à lasser, voire à fatiguer. La fameuse polémique qui dure depuis le début de l’ère informatique moderne n’est pas prête de s’arrêter, avec la multiplication des systèmes d’exploitation et des supports. Ce débat divise les défenseurs d’un système libre comme Linux, mais réservé aux utilisateurs expérimentés, conscients que ce système est plus sûr pour de multiples raisons (déjà évoquées ailleurs, la première étant la pertinence de s’attaquer aux systèmes inspirés d’Unix) et les Windowsiens, ces béotiens incapables de taper une ligne de commande, utilisant le vilain système de Microsoft.

Si la majorité des virus et malwares visent les utilisateurs de Windows, c’est uniquement parce qu’il s’agit d’un système ultra répandu, les personnes qui élaborent les codes malveillants sont plus tentés par l’anarchie et l’appât du gain que par le défi technique ou la notoriété, non parce que les systèmes sont plus sûrs. Mac OS, Windows, Linux…tous ont des failles de sécurité, tous connaissent des problèmes de logiciels malveillants et aucun utilisateur, aussi doué ou attentif qu’il soit, n’est à l’abri d’un acte cybercriminel. Et devinez quoi, pour les périphériques mobiles tournant sous Android, Windows Phone, iOS ou Symbian c’est pareil.

A écouter les experts, spécialistes, analystes et autres journalistes qui prêchent pour leur paroisse, le monde se divise en deux : Ceux qui sont sûrs de leur solution et ceux qui essayent de démonter point par point leurs arguments. Récemment, Google s’y est mis, par l’entremise de Chris DiBona, responsable des logiciels Open source et donc d’Android, le système maison qui peuple les smartphones et tablettes depuis quelques années et qui arrive dans sa quatrième évolution, bien évidemment « plus sûre ». Cet ingénieur s’est élevé contre les développeurs d’antivirus, les traitant de charlatans, proclamant que les virus pour mobiles ne constituaient pas une menace sérieuse pour son OS qui était potentiellement conçu pour résister aux attaques de malware. En même temps, Google tentait de balayer sous le tapis les applications présentant un problème de sécurité sur le Market, applications trop intrusives ou clairement dangereuses.
De leur côté les éditeurs d’antivirus reconnaissent que les habitudes des utilisateurs est la principale cause de vulnérabilité et d’infection : téléchargement d’applications sur des markets parallèles, installation sans avoir lu les ouvertures d’accès, piratage…mais toujours pas de virus à l’horizon, à part quelques trojans déjà cernés.

Quelque part, les développeurs de systèmes d’exploitation ont raison : la menace virale sur smartphone est marginale et ne doit pas engendrer de psychose chez leurs utilisateurs. Cela rejoint le discours d’Apple sur Mac OS X, qui dixit la firme de Cupertino « est protégé contre les virus Windows » et donc offre plus de sûreté. Sous le tapis aussi les MacDefender et autres MacGuard…mais pas de psychose surtout ! Il est vrai que certains éditeurs d’antivirus usent et abusent d’un discours alarmiste, bien que depuis quelques années le ton est plus léger voire auto-parodique chez certains, tandis que d’autres communiquent plus sur les fonctionnalités transverses que sur les performances de leur moteur antivirus.

Car le véritable enjeu des antivirus n’est plus l’éradication des virus et autres malwares, mais la protection de l’utilisateur contre lui-même. Le premier rempart contre lequel tous les développeurs de solutions de sécurité doivent lutter reste avant tout la naïveté puis la réticence de leurs clients potentiels. Pas besoin d’un antivirus parce que je ne télécharge pas ? Je n’ai pas besoin non plus d’un code secret pour ma carte bancaire ou d’un mot de passe pour mes comptes en ligne…ça ne sert à rien vu que je suis ultra prudent ! Et cette application gratuite sur le Market…elle ne m’a coûté que 300 dollars en SMS envoyés à mon insu ! En même temps, Windows offrait un Windows Phone Mango aux meilleures histoires de personnes arnaquées par ce biais, histoire de communiquer sur la sécurité avancée de leur OS mobile. Pas de chance, un simple SMS suffit à faire planter le téléphone…

Nous n’avons pas de leçon à donner. Chacun est en droit de défendre son pré carré et d’avancer ses arguments étudiés avec l’aide des meilleurs cabinets de RP. Mais remettons les choses à leur place : Un antivirus pour mobile n’est pas utile pour leur simple fonction antivirale. Tout est en fait une histoire d’appellation, ce qu’ont bien compris les développeurs d’antivirus qui proposent avant toute chose des suites de sécurité, empêchant les applications frauduleuses de s’installer, bloquant les sites douteux ou permettant de bloquer son matériel en cas de vol ou de perte. Pour les développeurs d’OS mobiles, les applications purement antivirales (dont la plupart sont inefficaces, de quoi leur donner du grain à moudre) sont bien entendu inutiles puisque hors de propos. Difficile de les contredire complétement mais en se disant meurtris jusque dans leur chair, ils ne font pas avancer le débat et au contraire jettent de l’huile sur le feu, afin que le brasier de la discorde brûle perpétuellement. Ils savent pertinemment qu'ils ne sont pas à l'abri et promouvoir un système sur sa sécurité c'est comme vendre une voiture en assurant qu'elle ne pourra pas être volée.