Agrandir / Le graphène est un allotrope remarquable, qui mérite d’être étudié plus en profondeur. GrapheneOS est une ROM remarquable, que Google ne sait pas vraiment comment intégrer, en raison de son nombre d’utilisateurs « minuscule » par rapport à celui d’Android grand public.
« Si ce n’est pas un système d’exploitation officiel, nous devons supposer qu’il est mauvais. »
C’est ainsi que Shawn Wilden, responsable technique de la sécurité matérielle dans Android, décrit la réalité actuelle des systèmes d’exploitation personnalisés basés sur Android en réponse à un véritable problème de sécurité. GrapheneOS utilisateurs découvert récemment que Authentifiéun gestionnaire d’authentification à deux facteurs populaire (et généralement bien considéré), ne fonctionnera pas sur leurs téléphones, téléphones exécutant un système d’exploitation censé être plus sécurisé et renforcé que n’importe quel téléphone Android standard.
« Nous ne voulons pas punir les utilisateurs d’OS alternatifs, mais il n’y a vraiment pas d’autre option pour le moment », a ajouté Wilden avant de conclure sans détour. « Play Integrity n’a absolument aucun moyen de deviner si un OS personnalisé donné subvertit complètement le modèle de sécurité Android. »
Il existe de nombreuses raisons, au-delà de la tricherie et de la malhonnêteté, qui peuvent pousser quelqu’un à rooter ou à modifier son appareil Android. Mais pour prouver sa sécurité, un appareil Android doit contacter les serveurs de Google via une API dans Google Play Services, puis faire vérifier son chargeur de démarrage, sa signature ROM et son noyau. GrapheneOS, comme la plupart des ROM Android personnalisées, ne contient pas de package Google Play Services par défaut, mais permet aux utilisateurs d’installer une version sandbox de Play Services s’ils le souhaitent.
Wilden a offert un certain espoir pour un avenir dans lequel les ROM pourraient garantir leur nature non criminelle à Google, notant “quelques discussions avec les fabricants de ROM de haute qualité” sur le passage de la Suite de tests de compatibilitépuis « établir une sorte de relation que nous pouvons utiliser pour leur faire confiance ». Mais cela représente « beaucoup de travail des deux côtés, y compris de la part des avocats », note Wilden. Et même si son équipe est heureuse d’aider, le support de haut niveau est difficile car « les moddeurs ne représentent qu’une toute petite fraction de la base d’utilisateurs ».
Le compte officiel de GrapheneOS X était moins d’espoir. Il a noté qu’une autre ROM personnalisée, LineageOS, désactivait le démarrage vérifié à l’installation et « annulait la sécurité de bien d’autres manières », contribuant à « une idée fausse selon laquelle chaque système d’exploitation alternatif annule la sécurité et n’est pas de qualité de production ». Une installation typique de LineageOS, comme la plupart des ROM personnalisées, désactive le démarrage vérifié, bien qu’il puisse être réactivé, sauf c’est risqué et compliqué. GrapheneOS a une page sur son site concernant sa position et ses critiques sur le modèle d’attestation de Google pour Android.
Ars a contacté Google, GrapheneOS et Authy (via le propriétaire Twilio) pour obtenir des commentaires. Pour le moment, il ne semble pas y avoir de voie claire pour l’une ou l’autre des parties, à moins que l’une d’entre elles ne soit prête à retravailler en profondeur ce qu’elle considère comme une sécurité appropriée.
2024-07-30 19:36:12
1722358962
#perte #dun #outil #2FA #populaire #place #GrapheneOS #soucieux #sécurité #dans #une #situation #paradoxale
