Au cours des prochains mois, François Gagnon et son équipe composée d'étudiants et de stagiaires chercheront à brosser le portrait des différents maliciels en circulation, puis tenteront ensuite de créer des solutions pour les applications légitimes comportant de grandes failles de sécurité.

Cégep de Sainte-Foy: à la chasse aux maliciels

Une équipe de chercheurs en informatique du Cégep de Sainte-Foy tente de percer le mystère des nombreux maliciels qui s'infiltrent dans les téléphones intelligents qui fonctionnent avec Android. Question de prévenir leurs prochaines attaques.
«On veut connaître leur comportement, savoir après quoi ils courent», explique François Gagnon, enseignant et chercheur principal du Laboratoire de recherche en cybersécurité. Mots de passe, informations personnelles: les maliciels, aussi appelés programmes malveillants, sont à l'affût de plusieurs données sensibles.
Au cours des prochains mois, M. Gagnon et son équipe composée d'étudiants et de stagiaires du DEC en Informatique - programmation Web, mobile et cybersécurité chercheront à brosser le portrait des différents maliciels en circulation et à mesurer l'ampleur du problème. Ils tenteront ensuite de créer des solutions pour les applications qui sont légitimes, mais qui comportent de grandes failles de sécurité. «Ce qu'on aimerait, c'est développer quelque chose qui avertirait l'usager, en lui disant que telle ou telle application est vulnérable.»
Selon M. Gagnon, les pirates informatiques s'attaquent davantage à Android parce que ce système d'exploitation est le plus répandu dans le monde, utilisé sur 85 % des appareils mobiles. «C'est une super grosse cible», commente-t-il. 
Il est aussi beaucoup plus facile de développer des applications dans l'univers de Google que dans l'univers de son concurrent Apple. «Les applications sont développées par un peu n'importe qui. Ça, c'est le gros problème.» Par exemple, quelqu'un qui propose une nouvelle application à Apple doit payer pour être publié et son produit devra subir une analyse avant d'être rendu disponible. Chez Google, les développeurs d'applications voient souvent leur produit être accepté sans frais, en une seule journée, indique M. Gagnon. 
Selon lui, le magasin officiel d'applications Android, le Google Play Store, s'améliore et se nettoie progressivement des applications qui présentent des failles de sécurité. Par contre, les usagers peuvent télécharger leurs applications à partir de centaines d'autres endroits, rendant la tâche plus facile aux pirates. 
Par exemple, lors de l'engouement entourant la sortie de Pokémon Go l'été dernier, des utilisateurs d'Android ont téléchargé par méprise une application qui n'était pas la bonne, qui était faite pour tromper. 
Pour M. Gagnon, les consommateurs doivent se rendre compte qu'ils entrent beaucoup d'information sensible sur leur cellulaire, mais qu'ils s'en servent aussi pour jouer à différents jeux, accumuler des points dans un magasin, etc. C'est cet amalgame de différentes fonctionnalités qui peut être dangereux. «Avec les téléphones intelligents, on retombe comme on était il y a 10 ans, au moment où tout le monde utilisait Internet pour niaiser. Maintenant, Internet s'est sécurisé, mais pas la plupart des applications», exprime M. Gagnon. 
Avec Thales
C'est Thales, un acteur mondial en cybersécurité et en protection des données qui a fait confiance au Cégep de Sainte-Foy pour mener à bien cette recherche. Le laboratoire du cégep, créé en 2013, vient de recevoir 85 000 $ de Thales et du Conseil de recherche en sciences naturelles et de génie du Canada, ce qui représente la plus grosse subvention de sa courte histoire.
***
Pour un téléphone Android sûr
Les conseils de François Gagnon: 
1. Télécharger les applications directement dans Google Play Store et non sur d'autres plateformes. «Ça enlève 95 % des problèmes en partant.»
2. Prendre autant de précautions avec son téléphone qu'avec son ordinateur personnel. «Les gens ont appris à ne pas installer n'importe quoi sur leur ordinateur, mais ils n'ont pas encore appris à le faire avec leur cellulaire.»
3. Être plus sélectif quant aux applications qu'on télécharge. Prendre le temps de s'informer sur les plus populaires et lire les commentaires laissés par les utilisateurs. 
4. Mettre ses applications à jour et faire le ménage de ses applications, en supprimant celles qui ne servent pas. Car tant qu'une application non sécuritaire reste sur un téléphone, un pirate peut s'en servir pour accéder à certaines données.