La certification du matériel appliquée aux ordiphones: la sécurité comme prétexte pour constituer un oligopole ?

Apple et Google font la promotion de leur technologie de certification de matériel.

Au nom de la sécurité, les deux gros fournisseurs d’OS mobiles sont en train de verrouiller un marché où ils seraient les seuls acteurs mondiaux à décider qui a le droit d’utiliser tel ou tel matériel.

Le principe

Le but de ces technologies est d’interdire aux gens d’utiliser du matériel et du logiciel non approuvé par Google et Apple.

Faussement présenté comme une fonctionnalité de sécurité, les banques et les gouvernements les adoptent avec enthousiasme, car cela leur permet d’imposer l’usage de logiciels privateurs à leurs clients/citoyens, quitte à sacrifier la souveraineté.

Les technologies

API Play Integrity de Google

Cette API Android permet à une application de vérifier :

1. qu’elle n’a pas été modifiée par l’utilisateur ;
2. que l’utilisateur a bien payé pour l’utiliser ;
3. que l’exécution n’a pas lieu sur un émulateur ;
4. que le matériel sur lequel elle s’exécute est certifié par Google.

Quelques fournisseurs d’Android proposent des alternatives à ce service :

• Unified Attestation, créé par Volla ;
• Android hardware attestation, présenté par Graphene OS comme une alternative à Google’s Play Integrity API plus ouverte.

API App Attest d'Apple

https://developer.apple.com/documentation/devicecheck/preparing-to-use-the-app-attest-service

Privacy Pass

Ce protocole a pour but d’authentifier un utilisateur anonyme. Cela peut sembler contradictoire, mais il s’agit de remplacer les solutions pour stopper les vils bots (captcha, anubis…).

Concrètement l’utilisateur doit obtenir un jeton avant d’accéder à un service.

Malheureusement de vils humains d’Apple et Cloudflare ont trouvé opportun d’implémenter ce système en rendant obligatoire l’usage d’un matériel certifié.

reCAPTCHA

Cette solution de Google impose aussi l’usage des services Google pour vérifier un mobile pour pouvoir accéder à certains services, notamment des sites web.

La certification de matériel du point de vue des utilisateurs

Pour le consommateur, la certification du matériel (appliqué aux ordiphones) revient à :

• limiter son choix de matériel neuf ;
• limiter son choix de matériel d’occasion ;
• accélérer l’obsolescence du matériel possédé.

Bref il faudra plus régulièrement « tout racheter ».

Pour le citoyen, c’est :

• l’usage obligatoire de logiciels privateurs ;
• une inscription forcé et donc l’acceptation des contrats de société “agressives” sur la vie privée et les données personnelles.

Pour les États et l’Union Européenne, c’est un nouvel abandon de souveraineté.

Certifier du matériel, c’est privateur. Certifier des gens c’est pire.

Si vous avez un diplôme d’ingénieur, un permis de chasse, un passe sanitaire ou un tatouage mafieux, vous savez que les organisations adorent certifier les personnes, par exemple pour être bien certaine de recruter un bon tireur pour une mission spéciale en pleine pandémie.

Toutefois si vous êtes un braconnier antivax de l’école 42, vous pouvez aussi télétravailler du côté obscur, par exemple comme développeur Android.

Enfin jusqu’ici, car Google demandera bientôt que tout développeur d’applications Android s’inscrive avec des obligations comme fournir une pièce d’identité officielle et lister tous ses identifiants d’applications actuels et futurs…

Une campagne est en cours pour défendre le droit des braconniers antivax de l’école 42gens normaux de continuer à développer librement sur Android : https://keepandroidopen.org/fr/

Aller plus loin

• GrapheneOS attestation compatibility guide (10 clics)
• Article de l'OFCE sur la constitution des oligopoles par les GAFAMs (6 clics)
• Article Wikipédia sur des oligopoles (4 clics)