Si vous pensez à toutes les entreprises impliquées dans la maintenance du logiciel sur votre téléphone, des développeurs d’applications individuels aux entreprises telles que Google, cela représente de nombreuses surfaces d’attaque à prendre en compte par les pirates. Ces types d’attaques sont également en augmentation. Tout cela ne tient même pas compte du marché de l’occasion, où les appareils Android usagés et remis à neuf (et en particulier les téléphones Pixel, dans ce cas) vendus par les propriétaires précédents ne sont pas garantis qu’il s’agit de nouvelles installations d’Android sûres et exempt de logiciels malveillants.
Correctifs Android de Google
En termes simples, le nouveau Pixel Binary Transparency vérifie le système d’exploitation Android sur un téléphone Pixel pour s’assurer que le code est exactement comme il se doit. C’est un peu comme vérifier l’authenticité d’un tableau, rechercher des signes d’effraction ou vérifier que toutes les portes et fenêtres des bureaux sont verrouillées en fin de journée. Google a écrit sur la nouvelle fonctionnalité dans un article de blog et indique que la fonctionnalité sera développée à l’avenir.
Plus précisément, la nouvelle mesure de sécurité Android utilise des journaux cryptographiques publics – des systèmes de comptabilité numérique – pour montrer à quoi devrait ressembler une installation Pixel. Les entrées peuvent être ajoutées à ces journaux lorsqu’un nouveau logiciel est publié, mais elles ne peuvent pas être modifiées ou supprimées. En d’autres termes, toutes les modifications non autorisées vont se démarquer.
Les journaux utilisent ce qu’on appelle un arbre Merkle pour maintenir l’intégrité des enregistrements qu’ils contiennent, une structure cryptographique qui accélère le processus de vérification de grandes quantités de données pour toute falsification. L’approche signifie que des portions de données beaucoup plus petites peuvent être analysées pour déterminer si des changements ont été apportés ou non.
Alors que Google lui-même admet que la plupart des utilisateurs n’auront pas besoin de la fonctionnalité Pixel Binary Transparency en raison des autres protections déjà en place sur Android, vous pouvez en fait l’essayer sur votre propre téléphone ou tablette Pixel. Vous devrez vous familiariser avec la compilation de code et l’utilisation du logiciel Android Debug Bridge (ADB) qui vous permet d’analyser les appareils Android à partir d’un ordinateur.
Pixel Binary Transparency complète la protection existante Android Verified Boot (AVB), qui fonctionne de manière similaire. Dès qu’un appareil Android démarre, il recherche une « signature » logicielle spéciale (un peu comme un mot de passe) vérifiant que tout va bien, que le logiciel n’est pas altéré et que le processus de démarrage peut continuer. Comme avec Pixel Binary Transparency, toute altération est pratiquement impossible à dissimuler. Dans le même temps, AVB protège également l’appareil contre le retour à des versions plus anciennes et moins sécurisées d’Android.