Android Open Source Project est un système d'exploitation mobile sécurisé doté d'un solide sandboxing d'application, d'un démarrage vérifié (AVB), et d'un solide système de contrôle des autorisations.
Protections de sécurité¶
Key components of the Android security model include verified boot, firmware updates, and a robust permission system. These important security features form the baseline of the minimum criteria for our mobile phone and custom Android OS recommendations.
Démarrage vérifié¶
Verified Boot is an important part of the Android security model. Il fournit une protection contre les attaques de type evil maid, la persistance de logiciels malveillants et garantit que les mises à jour de sécurité ne peuvent pas être rétrogradées grâce au rollback protection.
Les versions supérieures à Android 10 ont abandonné le chiffrement complet du disque au profit d'un chiffrement plus souple basé sur les fichiers. Vos données sont chiffrées à l'aide de clés de chiffrement propres à chaque utilisateur, tandis que les fichiers du système d'exploitation ne sont pas chiffrés.
Le Démarrage Vérifié garantit l'intégrité des fichiers du système d'exploitation, empêchant un adversaire disposant d'un accès physique d'altérer ou d'installer des logiciels malveillants sur l'appareil. Dans le cas improbable où un logiciel malveillant parviendrait à exploiter d'autres parties du système et à obtenir un accès privilégié, le Démarrage Vérifié empêchera et annulera toutes modifications apportées à la partition système lors du redémarrage de l'appareil.
Malheureusement, les fabricants sont tenus de prendre en charge le Démarrage Vérifié uniquement sur leurs distributions Android d'origine. Seuls quelques fabricants OEM, tels que Google, prennent en charge l'enrolement de clés AVB personnalisées sur leurs appareils. De plus, certaines ROM dérivées d'AOSP tels que LineageOS ou /e/ OS ne prennent pas en charge le Démarrage Vérifié, même si le matériel peut le prendre en charge. Nous vous recommandons de vérifier le support de cette fonctionnalité avant d'acheter un nouvel appareil. Les dérivés d'AOSP qui ne prennent pas en charge le Démarrage Vérifié ne sont pas recommandés.
De nombreux contructeurs ont également une implémentation défectueuse du Démarrage Vérifié dont vous devez être conscient au-delà de leur marketing. Par exemple, les Fairphone 3 et 4 ne sont pas sécurisés par défaut, car le chargeur d'amorçage d'origine fait confiance à la clé de signature AVB publique. This breaks verified boot on a stock Fairphone device, as the system will boot alternative Android operating systems (such as /e/) without any warning about custom operating system usage.
Mises à jour du micrologiciel¶
Firmware updates are critical for maintaining security and without them your device cannot be secure. Les fabriquants ont conclu des accords de prise de en charge avec leurs partenaires pour fournir les mises à jour des composants closed-source pendant une période limitée. Celles-ci sont détaillées dans les Bulletins de Sécurité Android mensuels.
Comme les composants du téléphone, tels que le processeur et les technologies radio, reposent sur des composants closed-source, les mises à jour doivent être fournies par leur fabricants respectifs. Par conséquent, il est important que vous achetiez un appareil qui reçoit activement des mises à jours. Qualcomm et Samsung prennent en charge leurs appareils pendant quatre ans, alors que les produits moins chers ont souvent des cycles de prises en charge plus courts. Avec l'introduction du Pixel 6, Google fabrique maintenant son propre SoC et fournira un minimum de 5 ans de mises à jour. Avec l'introduction de la série Pixel 8, Google a porté cette intervalle de prise en charge à 7 ans.
Les appareils qui ne sont plus pris en charge par le fabricant du SoC ne peuvent pas recevoir de mises à jour du micrologiciel de la part des fabricants ou des distributeurs. Cela signifie que les problèmes de sécurité de ces appareils ne seront pas corrigés.
Fairphone, par exemple, commercialise son appareil Fairphone 4 comme bénéficiant de 6 ans de mises à jour. Cependant, le SoC (Qualcomm Snapdragon 750G sur le Fairphone 4) a une date de fin de vie (EOL) beaucoup plus courte. Cela signifie que les mises à jour de sécurité du micrologiciel de Qualcomm pour le Fairphone 4 prendront fin en septembre 2023, que Fairphone continue ou non à publier des mises à jour de sécurité logicielle.
Autorisations d'Android¶
Permissions on Android grant you control over what apps are allowed to access. Google apporte régulièrement des améliorations sur le système d'autorisations à chaque nouvelle version d'Android. Toutes les applications que vous installez sont strictement isolées, il n'est donc pas nécessaire d'installer des applications antivirus.
Un smartphone équipé de la dernière version d'Android sera toujours plus sûr qu'un vieux smartphone équipé d'un antivirus que vous avez payé. It's better not to pay for antivirus software and to save money to buy a new smartphone such as a Google Pixel.
Android 10 :
- Scoped Storage vous donne plus de contrôle sur vos fichiers et peut limiter les applications qui peuvent accéder au stockage externe. Les applications peuvent avoir un répertoire spécifique dans le stockage externe ainsi que la possibilité d'y stocker des types de médias spécifiques.
- Un acès plus strict à la localisation de l'appareil en introduisant l'autorisation
ACCESS_BACKGROUND_LOCATION
. Cela empêche les applications d'accéder à la localisation lorsqu'elles fonctionnent en arrière-plan sans l'autorisation expresse de l'utilisateur.
Android 11 :
- Autorisations uniques qui vous permettent d'accorder une autorisation à une application une seule fois.
- Réinitialisation automatique des autorisations, qui réinitialise les autorisations d'exécution accordées lors de l'ouverture de l'application.
- Autorisations granulaires pour accéder aux fonctions liées au numéro de téléphone.
Android 12 :
- Une autorisation pour accorder uniquement la localisation approximative.
- Réinitialisation automatique des applications en hibernation.
- Audit de l'accès aux données qui permet de déterminer plus facilement quelle partie d'une application effectue un type spécifique d'accès aux données.
Android 13 :
- Une autorisation pour un accès aux wifi à proximité. The MAC addresses of nearby Wi-Fi access points were a popular way for apps to track a user's location.
- Des autorisations plus granulaires pour les médias, ce qui signifie que vous pouvez accorder l'accès uniquement aux images, aux vidéos ou aux fichiers audio.
- L'utilisation de capteurs en arrière-plan nécessite désormais l'autorisation
BODY_SENSORS
.
Une application peut demander une autorisation pour une fonction spécifique qu'elle possède. Par exemple, toute application permettant de scanner des codes QR nécessitera l'autorisation de l'appareil photo. Certaines applications peuvent demander plus d'autorisations qu'elles n'en ont besoin.
Exodus peut être utile pour comparer des applications ayant des objectifs similaires. Si une application nécessite de nombreuses autorisations et comporte beaucoup de traqueurs publicitaires et d'analytiques, c'est probablement un mauvais signe. Nous vous recommandons d'examiner les différents traqueurs et de lire leur description plutôt que de vous contenter de compter leur nombre et de supposer que tous les éléments énumérés sont égaux.
Avertissement
Si une application est principalement un service web, le suivi peut se faire du côté du serveur. Facebook n'affiche "aucun traqueur" mais piste certainement les intérêts et le comportement des utilisateurs sur le site. Les applications peuvent échapper à la détection en n'utilisant pas les bibliothèques de code standard produites par l'industrie de la publicité, bien que cela soit peu probable.
Note
Des applications respectueuses de la vie privée telles que Bitwarden peuvent afficher certains traqueurs tels que Google Firebase Analytics. Cette bibliothèque comprend Firebase Cloud Messaging qui peut fournir des notifications push dans les applications. C'est le cas avec Bitwarden. Cela ne signifie pas que Bitwarden utilise toutes les fonctionnalités d'analyse fournies par Google Firebase Analytics.
Fonctionnalités de protection de la vie privée¶
Profils utilisateurs¶
Les profils d'utilisateurs multiples se trouvent dans Paramètres → Système → Utilisateurs multiples et constituent le moyen le plus simple d'isoler dans Android.
Avec les profils d'utilisateur, vous pouvez imposer des restrictions à un profil spécifique, par exemple : passer des appels, utiliser des SMS ou installer des applications sur l'appareil. Chaque profil est chiffré à l'aide de sa propre clé de chiffrement et ne peut accéder aux données d'aucun autre profil. Même le propriétaire de l'appareil ne peut pas voir les données des autres profils sans connaître leur mot de passe. Les profils d'utilisateurs multiples est une méthode d'isolement plus sécurisée.
Profil professionnel¶
Les Profils Professionnels sont une autre façon d'isoler des applications de manière individuelles et peuvent s'avérer plus pratiques que des profils d'utilisateur séparés.
A device controller app such as Shelter is required to create a Work Profile without an enterprise MDM, unless you're using a custom Android OS which includes one.
Le profil professionnel dépend d'un gestionnaire d'appareil pour fonctionner. Les fonctionnalités telles que la Navigation de Fichiers et le blocage de la recherche de contacts ou tout autre type de fonctionnalités d'isolation doivent être implémentées par le gestionnaire. Vous devez également faire entièrement confiance à l'application de gestionnaire d'appareil, car elle a un accès total à vos données au sein du profil professionnel.
Cette méthode est généralement moins sûre qu'un profil utilisateur secondaire, mais elle vous permet d'exécuter simultanément des applications dans les profils professionnel et personnel.
Arrêt d'urgence VPN¶
Android 7 et plus prennent en charge un arrêt d'urgence du VPN et il est disponible sans qu'il soit nécessaire d'installer des applications tierces. Cette fonction permet d'éviter les fuites si le VPN est déconnecté. Il se trouve dans Paramètres → Réseau & internet → VPN → → Bloquer les connexions sans VPN.
Boutons à bascule globaux¶
Les appareils Android modernes disposent de boutons à bascule permettant de désactiver les services Bluetooth et de localisation. Android 12 a introduit des boutons à bascule pour l'appareil photo et le microphone. Lorsque vous n'utilisez pas ces fonctions, nous vous recommandons de les désactiver. Apps cannot use disabled features (even if granted individual permissions) until re-enabled.
Services Google¶
If you are using a device with Google services—whether with the stock operating system or an operating system that safely sandboxes Google Play Services like GrapheneOS—there are a number of additional changes you can make to improve your privacy. Nous recommandons toujours d'éviter complètement les services Google ou de limiter les services Google Play à un profil utilisateur/professionnel spécifique en combinant un contrôleur d'appareil comme Shelter avec le Sandboxed Google Play de GrapheneOS.
Programme de Protection Avancé¶
Si vous avez un compte Google, nous vous suggérons de vous inscrire au Programme de Protection Avancée. Il est disponible gratuitement pour toute personne possédant au moins deux clés de sécurité physiques qui prennent en charge le protocole FIDO. Alternatively, you can use passkeys.
Le Programme de Protection Avancée offre une surveillance accrue des menaces et permet :
- Une authentification à deux facteurs plus stricte; par exemple, seul FIDO doit être utilisé et toute autre type de double autentification tels que SMS OTP, TOTP et OAuth sont bloqués
- Seul Google et les applications tierces vérifiées peuvent accéder aux données du compte
- Une analyse des e-mails entrants sur les comptes Gmail pour détecter les tentatives de hameçonnage
- Une analyse plus stricte de la sécurité du navigateur avec Google Chrome
- Un processus de récupération plus strict pour les comptes ayant perdu leurs informations d'identification
Si vous utilisez des services Google Play non sandboxés (courants sur les systèmes d'exploitation d'origine), le Programme de Protection Avancée est également accompagné d'avantages supplémentaires tels que :
- Ne pas autoriser l'installation d'applications en dehors du Google Play Store, de la boutique d'applications du fournisseur du système d'exploitation ou via
adb
- Analyse automatique obligatoire des appareils avec Play Protect
- Avertissement concernant les applications non vérifiées
Mise à jour du système avec Google Play¶
Dans le passé, les mises à jour de sécurité d'Android devaient être envoyées par le fournisseur du système d'exploitation. Android est devenu plus modulaire à partir d'Android 10, et Google peut envoyer des mises à jour de sécurité pour certains composants du système via les services Google Play privilégiés.
Si vous avez un appareil sous Android 10 minimum qui n'est plus supporté et que vous ne pouvez pas installer l'un des systèmes d'exploitation que nous recommandons sur votre appareil, vous feriez mieux de vous en tenir à votre installation Android d'origine (par opposition à un système d'exploitation non répertorié ici, tel que LineageOS ou /e/ OS). Cela vous permettra de recevoir certains correctifs de sécurité de Google, sans enfreindre le modèle de sécurité Android en utilisant par exemple un dérivé d'Android non sécurisé et augmentant votre surface d'attaque. Nous vous recommanderions néanmoins de passer à un appareil qui est toujours supporté dès que possible.
L'Identifiant publicitaire¶
Tous les appareils sur lesquels les Google Play Services sont installés génèrent automatiquement un identifiant publicitaire utilisé pour la publicité ciblée. Désactivez cette fonctionnalité pour limiter les données collectées à votre sujet.
Sur les distributions Android avec Sandboxed Google Play, allez dans Paramètres → Applications → Sandboxed Google Play → Paramètres Google → Annonces, et sélectionnez Supprimer l'ID publicitaire.
Sur les distributions Android avec des services Google Play privilégiés (comme les systèmes d'exploitation d'origines), le paramètre peut se trouver à plusieurs endroits. Vérifiez:
- Paramètres → Google → Annonces
- Paramètres → Confidentialité → Annonces
You will either be given the option to delete your advertising ID or to Opt out of interest-based ads (this varies between OEM distributions of Android). If presented with the option to delete the advertising ID, that is preferred. Si ce n'est pas le cas, veillez à refuser la personnalisation des publicités puis à réinitialiser votre identifiant publicitaire.
SafetyNet et Play Integrity API¶
SafetyNet et les API Play Integrity sont généralement utilisés pour des applications bancaires. De nombreuses applications bancaires fonctionneront sans problème sur GrapheneOS avec les services Google Play en sandbox, mais certaines applications non financières ont leurs propres mécanismes anti-tampering rudimentaires qui peuvent échouer. GrapheneOS passe le contrôle basicIntegrity
, mais pas le contrôle de certification ctsProfileMatch
. Les appareils équipés d'Android 8 ou d'une version ultérieure sont dotés d'un système d'attestation matérielle qui ne peut être contourné qu'en cas de fuite de clés ou de vulnérabilité grave.
Quant à Google Wallet, nous ne le recommandons pas en raison de sa politique de confidentialité, qui stipule que vous devez manuellement refuser si vous ne voulez pas que votre note de crédit et vos informations personnelles soient partagées avec des services de marketing affiliés.