Utiliser des applications bancaires sur une ROM Android custom ? Ce serait possible grâce à ce système, mais…

Une initiative européenne vise à rendre possible l'utilisation d'applications normalement bloquées dès que l'on se sert d'une Rom custom. La solution adoptée est simple sur le papier, avec au moins deux bémols.

Même si l'opération est tombée en désuétude au fil des ans, certaines personnes s'adonnent encore au root de leur smartphone Android. Une procédure rendue de plus en plus difficile par les fabricants eux-même qui mettent des bâtons dans les roues des bidouilleurs. Celles et ceux qui insistent doivent aussi composer avec les restrictions qui en découlent. La plus importante étant l'impossibilité d'utiliser certaines applications sur un mobile rooté. À commencer par les applications bancaires et de paiement.

Ces services intègrent une API appelée Play Integrity. Proposée par Google, elle protège les applications de dangers potentiels. Après le root, l'appareil est considéré comme plus vulnérable aux cyberattaques et Play Integrity fait alors office de barrière. Pour changer cela, il y a le projet Unified Attestation. En résumé, c'est une alternative open source au système de Google. Mais tout le monde ne voit pas ça d'un très bon œil.

Ce système veut permettre l'utilisation de toutes les applis sur les ROM Android custom

Sur le papier, l'idée est intéressante. Une protection accessible à tous qui laissent les utilisateurs de ROM Android custom se servir des applications sans contrainte. Dans les faits, il y a deux limites. La première est que même si Unified Attestation promet une intégration de la solution en “juste quelques lignes de code“, c'est aux développeurs des applis de l’implémenter. Or, il y a très peu de chances que les banques, entre autres, se saisissent de l'initiative pour contenter une minorité de clients.

Lire aussi – Microsoft Authenticator ne fonctionnera plus sur les smartphone rootés ou jailbreakés

Le deuxième souci potentiel provient de celui qui a lancé le projet : le fabricant de smartphones Volla, soutenu par certains créateurs de ROM custom comme les Français de iodéOS. Malgré le côté open source de l'ensemble, certains invitent donc à la prudence. D'autres prennent la position de détracteurs virulents à l'instar de GrapheneOS, la ROM custom célèbre pour son accent sur le respect de la vie privée et la sécurité.

Pour certains, Unified Attestion ne ferait que déplacer le problème

L'équipe ne mâche pas ses mots sur le réseau social Mastodon : “Nous nous opposons fermement à l'initiative Unified Attestation et appelons les développeurs d'applications soucieux de la confidentialité, de la sécurité et de la liberté sur mobile à ne pas y participer. Les fabricants de téléphones ne devraient pas décider des systèmes d'exploitation autorisés pour les applications“.

Pour GrapheneOS, la solution est plus simple : “L'API Play Integrity devrait être supprimée par la réglementation plutôt que de créer un nouveau système où les entreprises autorisent leurs propres produits tout en interdisant ceux des autres. Ce ne devrait pas être légal quand Google le fait, et ce ne devrait pas l'être non plus quand Volla et Murena [un autre partenaire du projet, ndlr] le font. C'est inadmissible“.

Lire aussi – Apple Music : ne rootez pas votre smartphone Android si vous comptez utiliser l’application

Si les arguments sont pertinents, il faut se poser une question pragmatique. Qu'est-ce qui a le plus de chances d'arriver : la création d'une alternative plus ouverte à Play Integrity ou la disparition du système de Google ? La deuxième possibilité n'est pas inimaginable, surtout en Europe qui depuis quelques années déconstruit progressivement le monopole de la firme américaine. Mais dans l'attente, Unified Attestation pourrait permettre d'avancer.

GrapheneOS, qui ne cache pas son antipathie pour Murena et iodéOS, a un avis tranché sur la question : “L'existence d'une version européenne de Play Integrity qui autorise l'utilisation de produits non sécurisés provenant de certaines entreprises européennes participantes, tout en interdisant l'utilisation de matériel ou de logiciels non sécurisés, est tout sauf une solution. C'est une nouvelle preuve de la même politique anticoncurrentielle absurde“. Voilà qui a le mérite d'être clair.