Google a accru sensiblement la sécurité dans Android 7.0 (N ou Nougat), mais selon un professeur de cryptologie, ce système accuse encore du retard sur iOS.
Matthew Green donne cours de cryptologie à l’université américaine John Hopkins et a examiné le cryptage sur les deux systèmes d’exploitation. En fait, Android recourait jusqu’à présent au Full Disk Encryption (FDE), alors qu’iOS utilise déjà le File-based Encryption (FBE), qu’Android intègre aussi depuis la version 7.0.
Quatre niveaux contre deux
Green signale que le FDE est plus facile à mettre en oeuvre, mais qu’il convient moins pour les smartphones. Il permet aussi que des fichiers spécifiques soient cryptés ou non. La clé de cryptage est généralement conservée dans la mémoire de travail (RAM), mais comme les smartphones sont allumés et utilisés toute la journée, un cryptage ‘tout-ou-rien’ s’avère moins utile.
Pour les smartphones Apple, les développeurs peuvent appliquer quatre niveaux à l’aide d’une API: cryptage total (accès uniquement si l’appareil est activé et non-verrouillé), cryptage jusqu’à ce que (après un reboot) un mot de passe soit saisi pour la première fois, absence de cryptage, ou encore une option spéciale par laquelle de nouveaux fichiers (par exemple des photos, alors que l’appareil est encore verrouillé) sont cryptés par défaut.
Apple fait mieux
Le cryptologue fait remarquer qu’Apple n’est pas parfaite non plus, mais qu’elle a réfléchi en profondeur au processus de sécurisation. Pour sa part, Android tente la même chose, mais à bonne distance, selon lui. C’est ainsi qu’un développeur a le choix entre crypter des fichiers jusqu’à ce que l’utilisateur entre un mot de passe (unique), et le ‘device encrypted storage’, qui n’offre pas de cryptage, si l’appareil est activé, mais pas encore déverrouillé.
Le fait qu’Android ne propose que deux méthodes contre quatre pour iOS, est un problème pour Green. Il est en outre pour une appli difficile de savoir si un appareil est de nouveau verrouillé, ce qui complique toute protection supplémentaire.
En réalité, il faut savoir que les clés de cryptage sont stockées dans la RAM, et les utilisateurs ayant une connaissance approfondie peuvent retrouver ces clés, aussi longtemps qu’elles s’y trouvent. Dans la pratique, cela reste une tâche compliquée. Mais quiconque représente une cible privilégiée pour des pirates, par exemple à cause de certaines informations se trouvant sur son téléphone, peut donc être plus facilement piraté sur Android.
Green conclut son témoignage en affirmant qu’Android prend certes des mesures, mais ce sont les mêmes que celles prises par Apple, il y a quelques années. “Il (Android, ndlr) exploite une norme incroyablement faible. Nous sommes en 2016, et Android éprouve encore et toujours des difficultés avec le cryptage qui protège au niveau de l’écran de verrouillage (lockscreen), alors qu’Apple l’avait fait, il y a six ans déjà. Et même Apple n’y arrive pas encore correctement. Ce n’est pas une bonne chose pour la sécurisation d’Android à long terme.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici