Les geeks Android déverrouillent souvent les chargeurs de démarrage de leurs appareils, les rootent, activent le débogage USB et permettent l’installation de logiciels depuis l’extérieur du Google Play Store. Mais il y a des raisons pour lesquelles les appareils Android ne sont pas livrés avec tous ces réglages activés.
Chaque astuce geek qui vous permet d’en faire plus avec votre appareil Android enlève également une partie de sa sécurité. Il est important de connaître les risques auxquels vous exposez vos appareils et de comprendre les compromis.
Déverrouillage du chargeur de démarrage
Les chargeurs de démarrage Android sont verrouillés par défaut. Ce n’est pas seulement parce que le fabricant malveillant ou l’opérateur de téléphonie mobile veut verrouiller son appareil et vous empêcher de faire quoi que ce soit avec lui. Même les propres appareils Nexus de Google, qui sont commercialisés auprès des développeurs Android ainsi que des utilisateurs, sont livrés avec des chargeurs de démarrage verrouillés par défaut.
Un bootloader verrouillé garantit qu’un attaquant ne peut pas simplement installer une nouvelle ROM Android et contourner la sécurité de votre appareil. Par exemple, disons que quelqu’un vole votre téléphone et souhaite accéder à vos données. Si vous avez activé un code PIN, ils ne peuvent pas entrer. Mais, si votre chargeur de démarrage est déverrouillé, ils peuvent installer leur propre ROM Android et contourner tout code PIN ou paramètre de sécurité que vous avez activé. C’est pourquoi le déverrouillage du chargeur de démarrage d’un appareil Nexus effacera ses données – cela empêchera un attaquant de déverrouiller un appareil pour voler des données.
Si vous utilisez le cryptage, un bootloader déverrouillé pourrait théoriquement permettre à un attaquant de compromettre votre cryptage avec l’attaque du congélateur, en démarrant une ROM conçue pour identifier votre clé de cryptage en mémoire et la copier. Les chercheurs ont réussi cette attaque contre un Galaxy Nexus avec un chargeur de démarrage déverrouillé.
Vous souhaiterez peut-être re-verrouiller votre chargeur de démarrage après l’avoir déverrouillé et installé la ROM personnalisée que vous souhaitez utiliser. Bien sûr, il s’agit d’un compromis en termes de commodité: vous devrez déverrouiller à nouveau votre chargeur de démarrage si vous souhaitez installer une nouvelle ROM personnalisée.
Enracinement
L’enracinement contourne le système de sécurité d’Android. Sous Android, chaque application est isolée, avec son propre ID utilisateur Linux avec ses propres autorisations. Les applications ne peuvent pas accéder ou modifier les parties protégées du système, ni lire les données d’autres applications. Une application malveillante qui souhaitait accéder à vos informations d’identification bancaires ne pouvait pas espionner votre application bancaire installée ni accéder à ses données – elles sont isolées les unes des autres.
Lorsque vous rootez votre appareil, vous pouvez autoriser les applications à s’exécuter en tant qu’utilisateur root. Cela leur donne accès à l’ensemble du système, ce qui leur permet de faire des choses qui ne seraient normalement pas possibles. Si vous avez installé une application malveillante et lui avez donné un accès root, elle pourrait compromettre l’ensemble de votre système.
Les applications qui nécessitent un accès root peuvent être particulièrement dangereuses et doivent être examinées très attentivement. Ne donnez pas aux applications auxquelles vous ne faites pas confiance l’accès à tout sur votre appareil avec un accès root.
Débogage USB
Le débogage USB vous permet de faire des choses comme transférer des fichiers dans les deux sens et enregistrer des vidéos de l’écran de votre appareil. Lorsque vous activez le débogage USB, votre appareil accepte les commandes d’un ordinateur sur lequel vous le branchez via une connexion USB. Lorsque le débogage USB est désactivé, l’ordinateur n’a aucun moyen d’émettre des commandes sur votre appareil. (Cependant, un ordinateur peut toujours copier des fichiers dans les deux sens si vous avez déverrouillé votre appareil alors qu’il était branché.)
En théorie, il serait possible qu’un port de chargement USB malveillant compromette les appareils Android connectés s’ils avaient le débogage USB activé et accepté l’invite de sécurité. Cela était particulièrement dangereux dans les anciennes versions d’Android, où un appareil Android n’afficherait pas du tout une invite de sécurité et accepterait les commandes de n’importe quelle connexion USB si le débogage USB était activé.
Heureusement, Android fournit désormais un avertissement, même si le débogage USB est activé. Vous devez confirmer le périphérique avant de pouvoir émettre des commandes de débogage américaines. Si vous branchez votre téléphone sur un ordinateur ou un port de chargement USB et que vous voyez cette invite lorsque vous ne vous y attendez pas, ne l’acceptez pas. En fait, vous devriez laisser le débogage USB désactivé à moins que vous ne l’utilisiez pour quelque chose.
L’idée qu’un port de chargement USB pourrait altérer votre appareil est connue sous le nom de «prise de jus».
Sources inconnues
L’option Sources inconnues vous permet d’installer des applications Android (fichiers APK) à partir de l’extérieur du Play Store de Google. Par exemple, vous souhaiterez peut-être installer des applications à partir de l’App Store d’Amazon, installer des jeux via l’application Humble Bundle ou télécharger une application au format APK à partir du site Web du développeur.
Ce paramètre est désactivé par défaut, car il empêche les utilisateurs moins avertis de télécharger des fichiers APK à partir de sites Web ou d’e-mails et de les installer sans diligence raisonnable.
Lorsque vous activez cette option pour installer un fichier APK, vous devez envisager de le désactiver par la suite pour des raisons de sécurité. Si vous installez régulièrement des applications en dehors de Google Play – par exemple, si vous utilisez Amazon App Store – vous souhaiterez peut-être laisser cette option activée.
Dans tous les cas, vous devez faire très attention aux applications que vous installez en dehors de Google Play. Android proposera désormais de les analyser à la recherche de logiciels malveillants, mais, comme tout antivirus, cette fonctionnalité n’est pas parfaite.
Chacune de ces fonctionnalités permet de prendre le contrôle total de certains aspects de votre appareil, mais elles sont toutes désactivées par défaut pour des raisons de sécurité. Lorsque vous les activez, assurez-vous de connaître les risques.
Crédit d’image: Sancho McCann sur Flickr