Android Oreo : Google annonce un nouveau système de sécurité similaire à celui d’Apple
Android Oreo va recevoir une mise à jour apportant de nouvelles fonctionnalités de sécurité tant au niveau matériel que logiciel. Comme sur les iPhone d'Apple, notamment, le chiffrement ne pourra plus être déjoué sans mot de passe, et les tentatives de déverrouillage seront limitées. Tous les constructeurs Android pourront profiter de ce système.
La sécurité est très importante pour les utilisateurs de smartphones. Face aux nombreux malwares redoutables qui pullulent sur le Play Store, il est important que nos appareils mobiles soient sécurisés aussi bien sur le plan logiciel que matériel. Afin de renforcer la sécurité d'Android Oreo, Google annonce une importante mise à jour apportant de nouvelles fonctionnalités pour le système d'exploitation. Les ajouts sont nombreux, et cette mise à jour est donc loin d'être anodine.
Désormais, Android est conforme au profil d'anonymat IETF RFC 7844. De fait, le net.hostname est maintenant vide, et le client DHCP de l'appareil n'envoie plus d'hostname. Google a également inclus une fonction MAC adress randomization dans le code, afin de permettre aux appareils de rester anonymes lorsqu'ils se connectent au WiFi. Les applications qui requièrent un device ID doivent maintenant demander la permission, et les utilisateurs devront donc confirmer deux fois pour autoriser le partage d'informations.
Android Oreo : la sécurité fortement renforcée au niveau matériel et logiciel
Les développeurs doivent utiliser l'API Build.getSerial() pour obtenir le Device ID auprès des utilisateurs. De même, WebView a été séparé du reste du code de navigation web sur Android, afin de permettre aux Instant Apps de fonctionner de façon plus sécurisée. WebView supporte aussi le Safe Browsing pour les Instant Apps. Enfin, les Instant Apps sont lancées dans un « bac à sable » restreint pour permettre aux utilisateurs de fixer les limites. Pour tous les composants média, le Control Flow Integrity (CFI) a été activé pour rendre les attaques de type control flow graph plus difficiles à exécuter. Par ailleurs, le Project Treble sépare les mises à jour logicielles du logiciel final qu'elles remplacent, afin de simplifier les mises à jour et de renforcer la sécurité.
La principale nouveauté apportée par Google concerne la sécurité au niveau matériel. Un RPMB a été intégré au code Android afin de garantir que les données stockées sur un téléphone volé restent confidentielles, même si le voleur réinitialise le smartphone. Le statut « verrouiller » peut être stocké sur le RPMB ou sur un support dédié. Désormais, la clé de chiffrement de l'appareil ne peut plus être déverrouillée sans le mot de passe, et le nombre limité de tentatives de déverrouillage autorisées empêche de contourner cette sécurité. Ce système n'est pas sans rappeler celui d'Apple pour les iPhone. Désormais, tous les constructeurs Android pourront utiliser une telle sécurité.
