Android 10 bientôt disponible avec une meilleure protection de la vie privée

Mobilité

C’est officiel (ou plutôt officieux) : Android 10, la prochaine version du système d’exploitation Android, sera disponible à partir du 3 septembre 2019.

Android 10

Un site mobile, PhoneArena, indique que le service support client de Google a laissé fuiter la date auprès d’un lecteur lors d’une conversation. Attendez-vous à ce que le système d’exploitation Android 10, également appelé Android Q, soit disponible d’abord pour les téléphones Pixel de Google avant d’être étendu aux autres modèles. Il inclura toute une série d’améliorations en matière de confidentialité et de sécurité qui devraient sécuriser un peu plus les utilisateurs Android.

Les fonctionnalités de protection de la vie privée

Certaines améliorations importantes en matière de confidentialité sont celles qui empêchent les applications et les annonceurs d’en savoir plus sur votre téléphone. Android 10 va maintenant obliger les applications à transmettre une adresse MAC aléatoire (il s’agit d’un identifiant unique pour le hardware réseau de votre téléphone) et exigera également des autorisations supplémentaires pour accéder à l’IMEI (International Mobile Equipment Identity) du téléphone et à son numéro de série, qui tous deux identifient de manière unique ce dernier.

Google a également pris des mesures pour protéger les informations relatives à vos interactions avec vos contacts. Lorsque vous autorisez une application à accéder à vos contacts, Android ne lui fournira plus aucune ‘information d’affinité’, qui trie vos données de contact en fonction des personnes avec lesquelles vous interagissez le plus. Peut-être que vous l’ignoriez et que vous vous dites en ce moment : « Quoi ? Comment ? Il faisait vraiment cela ? ».

L’une des autres améliorations importantes en matière de confidentialité concerne le contrôle de la manière dont une application accède à la localisation d’un téléphone. Une nouvelle boîte de dialogue permettra aux utilisateurs de choisir si les applications peuvent accéder à la localisation à tout moment, ou bien uniquement lorsqu’elles sont exécutées au premier plan. Google tente ici de rattraper son retard, comme iOS l’a déjà fait.

Qu’en est-il des applications qui espionnent vos données de localisation par d’autres moyens, telles que la recherche de points d’accès Wi-Fi ou la vérification de dossiers à la recherche de données de localisation laissées par d’autres applications ? La nouvelle version Android 10 exigera des autorisations spécifiques et bien précises en matière de localisation pour que des applications accèdent à certaines fonctions Wi-Fi, de téléphonie et Bluetooth. Il comporte également une nouvelle fonctionnalité appelée stockage ciblé, qui limite l’accès d’une application aux fichiers stockés sur un support externe, en lui donnant uniquement accès à son répertoire et à ses types de support spécifiques.

De toute évidence, Google a écouté les chercheurs qui ont découvert que les capteurs d’un téléphone pouvaient révéler implicitement des informations sur son utilisateur. Android 10 introduira une nouvelle version de son autorisation ACTIVITY_RECOGNITON pour les applications qui gèrent l’activité physique, comme le nombre de pas.

D’autres améliorations en matière de confidentialité incluent des restrictions concernant les applications qui peuvent démarrer en arrière-plan. Enfin, le système d’exploitation empêchera également les applications d’accéder en mode silencieux à l’écran de l’appareil.

Une authentification biométrique

Google met également en place plusieurs améliorations au niveau sécurité pour compléter les fonctionnalités de confidentialité dans Android 10. La nouvelle version du système d’exploitation offrira une meilleure prise en charge de l’authentification biométrique. Il inclura deux modes, explicite et implicite, que les développeurs pourront utiliser pour éliminer les éventuels désaccords au niveau du processus d’authentification.

L’idée avec Android 10 est la transparence concernant l’autorisation de certaines tâches. Par exemple, vous ne voulez pas qu’Android scanne votre visage pour obtenir une autorisation de transaction par carte de crédit sans votre consentement préalable. Le mode explicite vous permet ainsi de cliquer sur un bouton pour permettre au téléphone de numériser votre visage ou votre iris, vous authentifiant ainsi pour des opérations sensibles comme celle mentionnée ci-dessus.

Inversement, le mode implicite est beaucoup plus souple. Il permet à Android d’obtenir l’authentification pour une tâche en analysant votre visage ou votre iris sans le demander au préalable. Il est conçu pour des tâches facilement réversibles, telles que le remplissage automatique de formulaires.

Le chiffrement

L’un des éléments que Google a traité dans Android 10 est le chiffrement, et ce, de deux manières. Premièrement, il offre une meilleure communication chiffrée.

Les téléphones Android chiffrent déjà les données en transit via HTTPS à l’aide du protocole de chiffrement TLS (Transport Layer Security). Google passe à la version 1.3 de ce protocole, approuvé comme norme il y a un an. TLS 1.3 connecte le téléphone à son point de destination 40% plus rapidement, selon Google, car il utilise moins de handshakes (à savoir les messages initiaux qui configurent une session de communication). Il chiffre également davantage le handshake en question et élimine certains algorithmes cryptographiques moins sécurisés.

La deuxième amélioration concerne le chiffrement de fichier. Certains téléphones Android chiffrent déjà les fichiers stockés sur l’appareil à l’aide d’AES, une méthode éprouvée qui existe depuis des décennies. Cependant, tous ne le font pas. Le chiffrement et le déchiffrement AES génèrent une surcharge en termes de calculs. Les fabricants qui utilisent des processeurs d’entrée de gamme dans leurs téléphones ne peuvent souvent pas gérer AES, signifiant ainsi que Google devait faire une exception pour eux.

Android 10 résout ce problème en utilisant Adantium, un système de chiffrement introduit par Google en février. Au lieu d’utiliser AES, Adantium est basé sur un système de chiffrement moins exigeant appelé ChaCha12. Il s’appuie uniquement sur les fonctions principales du CPU, signifiant ainsi que les processeurs qui n’incluent pas d’accélération matérielle intégrée pour la cryptographie pourront tout de même l’utiliser. Selon l’entreprise, comme il nécessite beaucoup moins de puissance de calcul que les autres méthodes de chiffrement AES, il peut être utilisé dans tous les types de produits, des téléphones à faible puissance aux smartwatches en passant par les dispositifs médicaux.

La correction des bugs

Android 10 propose également un certain nombre d’améliorations au niveau sécurité pour les composants existants au sein du système d’exploitation. Google analyse les données de son programme bug bounty pour chaque version afin de déterminer les points sur lesquels se concentrer. L’année dernière, il avait constaté que la plupart des bugs étaient liés à ses fonctions multimédia et Bluetooth.

Environ 80% des bugs multimédias d’Android étaient liés à ses codecs logiciels. Codec signifie codeur/décodeur. Il s’agit d’un programme logiciel qui transforme un élément multimédia en flux de données ou décode ce flux de données et le transforme en un élément exploitable. Google a fait de son mieux pour corriger les bugs en déplaçant les codecs logiciels dans leur propre sandbox séparé, limitant ainsi les actions possibles. Ils n’ont donc plus accès aux pilotes de périphériques matériels. Par conséquent, les attaquants ne pourront plus accéder aussi facilement à votre système qui les utilise.

Les améliorations en matière de sécurité et de confidentialité font toujours l’objet d’un travail continu qui ne s’arrête jamais vraiment. Les dernières améliorations au sein d’Android 10/Q ne seront pas les dernières, mais elles montrent que Google écoute les chercheurs en cybersécurité et répond à leurs interrogations. Les utilisateurs Android dont les téléphones prennent en charge la nouvelle version doivent effectuer la mise à niveau dès que celle-ci sera disponible.


Billet inspiré de Android 10 coming soon, with important privacy upgrades, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.