Contenu
La sécurité et la confidentialité sont plus importantes que jamais et Google le sait bien. Lors de la conférence des développeurs d’E / S de Google cette semaine à Mountain View, la société a marqué un tournant dans les relations avec les deux. L’intérêt renouvelé de Google pour la sécurité et la confidentialité est mis en évidence dans Android Q, où la société a intégré une gamme de couches de protection.
Les bases incluent un cryptage plus largement disponible, de nouveaux comportements d’authentification et un code renforcé.
Adiantum, pas adamantium
Les os de Wolverine sont greffés avec un super métal fictif que Marvel appelle adamantium. De même, Google protège le cœur d’Android sur les téléphones bas de gamme avec un profil de cryptage du monde réel appelé adiantum.
La majorité des téléphones de milieu de gamme et haut de gamme actuels sont mandatés pour exécuter le cryptage AES. AES nécessite une accélération matérielle, raison pour laquelle il ne fonctionne correctement que sur des périphériques bien spécifiés. AES ne peut pas fonctionner sur la majorité des téléphones à un prix inférieur à 100 USD, sans parler des périphériques Wear OS ou Android TV. C’est un problème pour Google. Entrez adiantum.
Google exigera un cryptage pour tous les appareils commençant par Android Q.
Adiantum est basé sur un noyau Linux à code source ouvert. Google a collaboré avec les équipes d'Android Go et d'Android One pour adopter Adiantum dans Android Q. Les équipes d'Android Go et d'Android One se sont quant à elles concertées avec des fournisseurs de services informatiques tels que Qualcomm et MediaTek pour en faire une réalité. Adiantum est une alternative logicielle à l'AES à accélération matérielle. Même les appareils les moins puissants peuvent le gérer, ce qui signifie que tout, des dispositifs portables aux dispositifs médicaux, peut bénéficier de la sécurité offerte par le cryptage.
Google exigera un cryptage pour tous les appareils commençant par Q, et adiantum indique comment les appareils bas de gamme le déploieront. Les appareils de milieu de gamme et haut de gamme pouvant exécuter AES continueront d’exécuter AES.
Adiantum est actuellement en statut alpha, mais sera prêt d’ici à la finalisation d’Android Q plus tard cette année.
L'autre moitié
Le chiffrement des appareils est une partie de l'histoire, le chiffrement du lien entre l'appareil et le réseau est la deuxième partie.
Android Q adopte TLS 1.3, une révision de la norme IETF achevée l'an dernier. TLS 1.3 crypte et sécurise le trafic de votre téléphone vers le service Internet auquel vous vous connectez. En d’autres termes, l’achat que vous souhaitez effectuer en surfant sur le Wi-Fi de Starbucks est désormais protégé de force.
Selon Google, TLS 1.3 est plus propre et plus stable que TLS 1.2, et fournit une liaison solide entre les entités nécessaires à la sécurité. La vitesse est un avantage secondaire. TLS 1.3 peut réduire les temps de connexion d'environ 40%. TLS 1.3 sera activé par défaut sous Android Q.
La biométrie foisonne
La biométrie jouera un rôle plus important dans la sécurité lorsque vous interagissez avec votre appareil Android Q. Android Q met à jour l'API BiometricPrompt afin d'aider les développeurs à exploiter la biométrie à des fins d'authentification. À l'avenir, les développeurs pourront appliquer des actions explicites ou implicites.
Avec des actions explicites, les utilisateurs doivent effectuer une action directe pour l'authentification en touchant le capteur d'empreinte digitale ou en scannant leur visage. Ce type d'authentification serait nécessaire pour effectuer des paiements ou des virements de fonds.
Avec des actions implicites, les utilisateurs n'auront pas à adopter une telle approche directe. Les applications peuvent automatiquement scanner le visage de l'utilisateur à l'ouverture, par exemple, ce qui permet à l'utilisateur d'accéder directement à l'application en question. Google envisage des actions implicites authentifiant les connexions aux applications ou les comportements de remplissage de formulaire.
Les utilisateurs doivent effectuer une action directe pour l'authentification.
Les développeurs pourront autoriser les utilisateurs à utiliser par défaut des sauvegardes de code confidentiel, de motifs ou de mots de passe pour des actions explicites ou implicites s'ils le souhaitent. En effet, il est parfois impossible pour un téléphone de numériser un visage en raison de l'éclairage. Il reviendra à chaque application d’adopter ce type de comportement.
Code plus propre
Google ne fait pas porter tout le fardeau de la sécurité et de la confidentialité sur les développeurs et les utilisateurs finaux. Il s’est efforcé de renforcer son propre code dans diverses parties du système d’exploitation afin de mieux protéger tout le monde. Google indique qu'il s'est concentré sur les principales faiblesses, telles que les médias, Bluetooth et, croyez-le ou non, le noyau central.
Il utilisait des processus sophistiqués tels que «l'isolation de processus», «la réduction de la surface attachée» et la «décomposition architecturale» pour trouver des vulnérabilités et les exploiter. Une fois les trous trouvés, Google les a réparés.
Une grande partie de ce travail consiste à tout automatiser. Google veut que les utilisateurs finaux sachent que leurs téléphones et autres appareils sont sécurisés par défaut. C'est un pas en avant significatif. Associé aux nouveaux outils de confidentialité et de sécurité disponibles pour les développeurs, Android Q ajoute une fine couche d'armure (hélas, pas de vibranium) sur la plate-forme.
