Android 8.0 Oreo regorge de fonctionnalités intéressantes, allant des applications instantanées aux canaux de notification. Alors que la plupart des utilisateurs sont très enthousiastes à propos de ces nouvelles fonctionnalités, il existe une gamme complète d'améliorations de sécurité peu connues et sous le capot dans le tout dernier système d'exploitation de Google.
Les fonctionnalités de sécurité peuvent ne pas vous enthousiasmer autant que d'autres fonctionnalités phares, mais elles sont tout aussi importantes. Les terminologies de sécurité peuvent être assez déroutantes pour le non-technicien moyen, alors voici notre tentative de simplifier les fonctionnalités de sécurité dans Android 8.0 Oreo.
Voici quelques fonctionnalités de sécurité intégrées directement dans le système d'exploitation, et elles sont livrées avec chaque appareil Android 8.0 Oreo prêt à l'emploi.
Contrairement à iOS, Android a été assez "ouvert" pour permettre aux utilisateurs de télécharger des applications sur leur appareil. Les applications de chargement indépendant vous permettent d'accéder à toutes sortes d'applications, mais l'installation d'applications à partir de sources non vérifiées peut s'avérer être un énorme risque pour la sécurité.
Dans Android 8.0 Oreo, il y a un grand changement dans la façon dont vous chargez les applications. Au lieu d'un paramètre global qui permet l'installation d'applications de n'importe où, Oreo vous oblige à basculer ce paramètre sur une base par application. Par exemple, vous pouvez autoriser l'installation manuelle des APK depuis l'Amazon Appstore, mais bloquer l'installation des APK téléchargés depuis Google Chrome.
Ce comportement précis vous permet d'être très précis sur les sources à partir desquelles vous pouvez installer des applications, vous empêchant ainsi d'installer des applications à partir de sources douteuses.
De plus, Google Play Protect peut rechercher des menaces de sécurité dans les applications inconnues.
Android Verified Boot est une fonctionnalité de sécurité intégrée à Android depuis 4.4 KitKat. Les logiciels malveillants Android intelligents avec des autorisations root peuvent se cacher et se masquer, les rendant indétectables pour les applications de sécurité. Cette fonctionnalité empêche un périphérique de démarrer si le logiciel est falsifié.
Mais un pirate pourrait potentiellement rétrograder l'appareil vers une version plus ancienne, contournant ainsi cette fonctionnalité.
Pour lutter contre cela, Oreo est livré avec le démarrage 2.0 vérifié par Android, qui prend en charge la protection antiretour. Il est conçu pour empêcher un périphérique de démarrer s'il est rétrogradé vers une version plus ancienne ou plus vulnérable.
Ceci est accompli en stockant la version du système d'exploitation dans un matériel spécial. Actuellement, les Pixel 2 et Pixel 2 XL sont livrés avec cette protection. Google recommande vivement à tous les fabricants d'appareils d'intégrer cette fonctionnalité à l'avenir.
Project Treble a été principalement conçu pour aider les fabricants d'appareils à déployer rapidement de nouvelles versions d'Android. Dans les coulisses, il s'agit d'une refonte majeure du framework Android, qui sépare le code spécifique à l'appareil du framework du système d'exploitation.
Outre des mises à jour plus rapides, il joue également un rôle clé en matière de sécurité.
En raison du cadre modulaire repensé et d'un meilleur sandboxing, les exploits d'une partie ont moins de chances d'affecter d'autres parties du système.
La couche d'abstraction matérielle (HAL) fournit une interface entre le matériel et le logiciel du système. Traditionnellement, cela incluait un accès direct aux pilotes du noyau, ce qui donnait aux HAL des autorisations supplémentaires et un accès au matériel qui n'était pas absolument nécessaire.
Dans Oreo, chaque HAL s'exécute dans son propre bac à sable. Cela se traduit par des autorisations d'application et des pilotes matériels moins utilisés.
Voici quelques améliorations de sécurité dans Oreo qui vous aident à rester en sécurité lorsque vous naviguez sur Internet.
SSL/TLS sont des protocoles réseau utilisés pour fournir des communications sécurisées sur Internet. En 2014, des chercheurs de Google ont découvert une faille de sécurité dans SSL v3.0.
Avec Oreo, Android a cessé de prendre en charge cette ancienne version non sécurisée de SSL.
Oreo abandonne également la prise en charge de la version de secours de TLS, qui était une solution de contournement de compatibilité pour se connecter à des serveurs qui ont une implémentation incorrecte de TLS. Google indique que la solution de contournement a été supprimée car elle affaiblissait la sécurité. Pour les utilisateurs finaux, cela implique une sécurité renforcée lors de la communication sur Internet.
Oreo apporte également quelques modifications de sécurité à l'élément WebView. Pour les non-initiés, vous pouvez considérer WebView comme un navigateur intégré à une application.
Tout d'abord, les composants de WebView ont été divisés en un processus distinct, ce qui permet de gérer en toute sécurité le contenu non fiable avec le sandboxing. Il prend désormais également en charge la navigation sécurisée, qui vous avertit des sites frauduleux et trompeurs.
Ce n'est un secret pour personne qu'il existe des risques inhérents associés à la connexion à un réseau Wi-Fi public non sécurisé. Sa nature ouverte pourrait potentiellement permettre aux pirates de voler vos informations personnelles.
Heureusement, la fonction WiFi Assistant d'Oreo peut vous aider à vous connecter à un réseau Wi-Fi de haute qualité et à le sécuriser avec un VPN vers Google. Cependant, cette fonctionnalité semble être exclusive aux utilisateurs de Project Fi et Nexus/Pixel pour le moment.
Parallèlement aux améliorations logicielles, Google est allé plus loin en introduisant des fonctionnalités de sécurité liées au matériel intéressantes dans Oreo.
Android Oreo permet la prise en charge d'un module de sécurité matériel dédié qui protège le mot de passe de votre écran de verrouillage contre les attaques physiques. Le Pixel 2 est le premier téléphone doté d'un tel module de sécurité.
Le matériel inviolable possède sa propre RAM dédiée et d'autres composants, de sorte qu'il peut contrôler entièrement sa propre exécution. Google dit qu'il peut également détecter et se défendre contre les tentatives extérieures de falsification physique. Le matériel inviolable complète le mécanisme de sécurité basé sur le logiciel et offre une sécurité de niveau entreprise.
Si vous avez activé l'authentification à deux facteurs (ce que vous devriez absolument), vous conviendrez peut-être que la saisie de codes uniques comme deuxième forme d'authentification peut être assez compliquée. Dans ce cas, les clés de sécurité U2F physiques peuvent agir comme une deuxième forme d'authentification, éliminant ainsi les tracas liés à la saisie manuelle des codes.
Heureusement, Android Oreo prend en charge les clés de sécurité physiques que vous pouvez connecter à votre téléphone via Bluetooth ou NFC.
Actuellement, les développeurs sont tenus d'intégrer cette fonctionnalité dans leurs applications. Cela peut donc prendre un certain temps avant que vous puissiez commencer à les voir en action.
Outre les principales fonctionnalités ci-dessus, voici quelques autres petites modifications liées à la sécurité apportées à Android Oreo.
Android Oreo limite l'accès au noyau à l'aide d'un nouveau filtre seccomp. En utilisant cela, Google dit qu'il peut arrêter les appels système inutilisés, réduisant ainsi les attaques du noyau. Pour les utilisateurs finaux, cela signifie que le noyau est moins susceptible d'être exploité par des applications malveillantes.
En règle générale, Android permet aux applications de créer des fenêtres contextuelles au-dessus d'autres applications Android. Les développeurs ont utilisé cette fonctionnalité pour créer des concepts innovants tels que le mode image dans l'image dans les applications.
Mais certains pirates ont également exploité cette fonctionnalité pour afficher des fenêtres contextuelles demandant une rançon ou même inciter les utilisateurs à donner leurs informations d'identification.
Dans Oreo, il y a une notification persistante chaque fois qu'il y a une superposition d'alerte système. Il vous permet également d'ignorer facilement la notification et de supprimer cette superposition.
Google semble n'avoir rien négligé dans 8.0 Oreo en matière de sécurité. Cependant, il a pas mal de rattrapage à faire avec iOS en matière de sécurité. Mais avec toutes ces améliorations de sécurité et le paiement sans cesse croissant d'Android Security Rewards, il semble bien que Google s'engage fermement à rendre Android plus sûr.
Même si vous pouvez essayer les principales fonctionnalités d'Oreo sur des appareils Android plus anciens, ces améliorations de sécurité ne peuvent pas être reproduites, ce qui en fait une mise à niveau convaincante. Il est facile de passer à Android 8.0 Oreo dès maintenant si votre appareil le prend en charge.
Que pensez-vous des améliorations apportées à la sécurité d'Android Oreo ? Pensez-vous qu'Android sera un jour à égalité avec iOS en matière de sécurité ? Partagez vos impressions avec nous dans les commentaires ci-dessous.
