Journal Utiliser son Android de façon plus sécurisé

Posté par . Licence CC by-sa.
Tags :
24
3
juin
2018
Ce journal a été promu en dépêche : Utiliser son Android de façon plus sécurisée.

Sommaire

Origine de l'article : via web ou via tor.
article header

🍭 Si tu fais des conneries avec ta vie privée et celle des autres, tu es une balance peu importe tes excuses ou ton déni. 🍭

Point de Départ

Introduction

Android est un système en partie libre, assez dur à dompter tout en étant celui offrant le plus de possibilités. Il est généralement livré par les opérateurs avec des applications publicitaires, des spywares/tracker à la pelle (surtout google analytic) et autres applications dérangeantes autant pour le confort personnel, la philosophie que l'aspect sécuritaire ou énergétique.
En effet par exemple lors de l'installation de votre appareil, Facebook (qui est pré-installé sur quasi tout les Android), va récupérer votre liste de contacts et se l'auto-envoyer et ce même si vous n'avez jamais utilisez FB de toute votre vie.
Les opérateurs et fabricants ont tendance a modifier le système (par exemple HTC qui insère son propre launcher et ses propres widgets) et donc que l'existence de différences d'un smartphone Android à un autre est "normal".
Petit rappel : votre machine vous sert souvent pour communiquer avec d'autres humains, grosso modo elle sert d'organe comme votre bouche et vos oreilles. Si vous et vos interlocuteurs ne peuvent faire confiance à votre bouche et vos oreilles, comment communiquer avec vous ?
Attention : méfiez-vous des comparatifs d'applications/services biaisé par le culte monétaire ;)

Petit résumé du fonctionnement d'Android.

Android est un moteur Linux, faisant tourner une machine virtuelle (émulateur) exécutant du Java.
Contrairement aux systèmes sur ordinateur où chaque application possède sa propre base de données et où c'est parfois le bordel: sur Android certaines informations sont centralisées dans une base de données principale. Ainsi chaque application y aura accès ou non selon votre gestion des permissions. De fait, les calendriers, les SMS/MMS, la position et les contacts peuvent être accessible à toutes les applications sans passer par la case export. Le danger est justement de la facilité d'accès pour les applications, pré-installées par les opérateurs, auxquelles ces derniers auront sournoisement autorisé toutes les permissions.
Android ne permet pas encore une utilisation aussi poussée que sur ordinateur. On citera entre autre la difficulté abusive pour programmer/scripter, l'impossibilité d'afficher plusieurs fenêtres en même temps, l'absence du montage à distance, etc.
Un truc a savoir avec Android : les fabricants bloquent les versions d'Android. Ainsi au bout d'un certains âge le nombre d'applications installable sur un appareil diminue car elles ont besoin d'un système plus récent. Ce blocage permet aux fabricants et opérateurs de vous vendre la gamme suivante et de leur économiser des coûts d'entretiens du parc technologique. (#ObsolescenceProgrammée)

Règles de base.

  • Méfiez-vous de se que vous installez et est déjà pré-installé.

    • N'installez pas des applications inutile, à la provenance douteuse (y compris sur les Play Store) ou demandant des permissions suspicieuses. N'oubliez pas non plus que la plus part des chevaux de Troie se cachent dans des applications d'un premier abord normal. Votre vie privé ne peut être protégé si vous installez des applications qui pompent toutes vos données. Afin de les éviter un maximum, utilisez des applications libre en lieu et place de celles installées par défaut. (attention : Certaines applications libre, provenant généralement des fabricants, embarquent Google Analytics)
  • Verrouillage de l'écran

    • Toujours laisser le verrouillage automatique de l'écran. La majorité des piratages c'est le ou la compagne qui pique le smartphone ou va sur le pc non verrouillé quand on a le dos tourné.
  • Un service ou une application conçue dans votre pays n'est pas de meilleure qualité "parce que voila".

    • Il faut que les gens derrière l'application/service poursuivent des objectifs finaux concordant avec vos attentes. La communauté aussi est très importante, cette dernière ne doit pas être composée en majorité d’imbéciles demandant des anti fonctionnalités (voir par exemple les commentaires sous les applications foscam où des gens demandent l'introduction de se qu'un averti appellerait une "backdoor"). Évitez quand même les pays chelous (chine, russie, moyen orient, turquie).
  • L'antivirus ne vous protégera jamais de vos incompétences/méconnaissances.

    • L'antivirus ne peut vous protéger de vos propre erreurs. Si vous exécutez une application contenant un malware, que votre antivirus vous demande si c'est normal et que vous répondez Oui, alors l'antivirus ne va pas bloquer le vilain. Aucun antivirus ne vous protégera jamais de vos propres actions.
  • C'est normal de ne pas tout savoir.

    • Personne n'est omniscient, vous ne savez pas tout sur tout et allez commettre des erreurs. Il faut l'accepter et réfléchir à comment diminuer l'impacte de vos erreurs éventuelles.
  • Ne laissez pas vos émetteurs-récepteurs allumés inutilement.

    • N'oubliez surtout pas de couper le Wifi, le bluetooth et le support NFC lorsque vous n'en avez pas besoin. Il faut savoir qu'il est très, très, très facile de vous suivre grâce aux identifiants (voir adresse MAC) et se sans que vous soyez connecté. En effet votre machine va spammer régulièrement l'air de requêtes permettant de savoir si un des réseaux (pour le wifi) ou une des machines (pour le bluetooth) avec "connexion automatique" (par défaut) est à portée de connexion.
  • Ne vous connectez à des services qu'en https, jamais en http.

    • Il vous arrive probablement de vous connecter à des wifi non sécurisé, à des VPN ou à Tor. Il ne faut JAMAIS faire confiance en les machines entre vous et le destinataire. Pour éviter de vous faire piller vos mots de passes, utilisez toujours https.

Premiers pas

Note : prenez votre temps, en cas d'erreur le risque c'est de foutre en l'air votre machine et les réparations ne sont pas gratuite. À vos risques et périls, hacker vaillant rien d'impossible !

Avant l'achat

Avant d'acheter un nouvel appareil il faut vérifier sur internet que ce n'est pas juste une bouse de marketeux. Pour ce faire renseignez-vous afin de connaître les retours d'expérience d'autres personnes (attention aux faux com'), de savoir s'il est facilement rootable, si les mises à jours système ne se bloquent pas au bout de 6 mois, etc.
Ne succombez surtout pas aux publicités sans vérifier derrière et ne soyez pas le premier de tout l'internet à tenter de rooter un nouvel appareil ;)

Root (accès administrateur)

Attention : risque de bloquer votre machine (break, freeze, bootloop)

Explications : L'accès root vous permet d'autoriser des applications à accomplir des actions en administrateur. Pour avoir accès en administrateur, sur la plupart des machines android il vous faudra utiliser un hack. Ce hack est parfois prévu par les fabricants (par exemple HTC et Sony qui vous fournissent un tuto si vous leur offrez vos informations personnelles (#tracking)). La raison pour laquelle l'accès root est aussi difficile à avoir est simple : vous interdire de supprimer les applications publicitaires, ainsi que les spywares fabricants/opérateurs/fournisseurs/étatiques et vous empêcher d'avoir le contrôle complet de votre machine.
Il faut savoir qu'unlocker le bootloader (pour pouvoir rooter) peut provoquer la fin de la garantie pour certains appareil.
Chaque appareil aura donc une méthode spécifique pour avoir accès en admin. Mais en général vous devrez :

  • Désactiver le chiffrement de la partition
    • Lancez votre appareil, sans carte sim.
    • Si c'est votre premier lancement, dites non à un maximum des questions qu'il va vous poser et faites la mise à jours système.
    • Une fois l'appareil lancé, allez dans Paramètres => Verrouillage d'écran et sécurité => Chiffrer l'appareil => Désactiver chiffrement data. (ndlr : vous pourrez, au choix, le ré-activer plus tard ou non, si votre ROM est compatible)
  • Déverrouillez le bootloader
  • Rootez votre appareil en suivant la procédure spécifique à l'appareil (cherchez sur un moteur de recherche "root nom_COMPLET_de_votre_appareil")

Premier lancement d'Android

  1. /!\ Ne placez surtout pas votre carte sim !!!

  2. Répondez aux questions afin de lancer l'appareil. Veillez à décliner respectueusement toutes les offres de vous faire espionner et choisissez ignorer lorsque l'appareil vous demandera le code du wifi.

  3. Une fois l'appareil lancé, rendez-vous dans vos Paramètres puis Applications et Forcez l’arrêt puis Désactivez les applications chelou (facebook et compagnie) en veillant à ne pas toucher aux applications risquant de rendre instable votre appareil. Pour les applications de votre opérateur ou du fabricant il faudra se renseigner sur le net voir y aller à tatillon avec le risque de break votre appareil donc faites très attention. Si après avoir désactivé une application vous commencez à avoir plein des erreurs provenant du système android, ré-activez cette application AVANT tout redémarrage du système (si non risque de bootloop).

  4. Désactivez les publicités ciblées, voir même tout se qui utilise un compte Google/Microsoft/Apple/etc.

  5. Désactivez le support NFC (à moins que vous l'utilisiez)

  6. Autorisez l'installation d'application en dehors du Google Play Store.

  7. Installez F-Droid, la bibliothèque d'applications libre puis YalpStore pour pouvoir installer les applications provenant du Google Play Store sans passer par ce dernier.

Communiquer avec d'autres humains

via Internet

XMPP + Tor

animation expliquant tor + xmpp

Applications : Conversation et/ou Movim + Orbot
XMPP est le protocole qui se cache derrière Movim et Conversation, deux puissants clients de communication qui vous permettront d'oublier facebook une bonne fois pour toute.
Movim est une alternative complète à facebook alors que Conversation est une alternative à Messenger (l'application tchat de facebook).
Afin d'empêcher le tracking via IP, que vous hébergiez votre propre serveur XMPP ou que vous soyez inscris sur un serveur de la confédération, il est conseillé d'utiliser Orbot. Ce dernier va, pour vos données circulant entre vous et le serveur XMPP, les faire transiter par le réseau Tor et ainsi dissimuler votre adresse IP. C'est assez important si vous vous déplacez avec votre appareil afin d'empêcher la géolocalisation, plus particulièrement si vous utilisez les hotspot et réseaux Fon (dont vos changements d'IP au fur et a mesure de vos connexions aux différents point d'accès Fon vont permettre de récupérer vos déplacements plus facilement qu'en 4G).

  1. Ouvrez fdroid, activez le dépôt "Gardian Project" et cherchez puis installez Orbot et au choix Conversation ou Movim (ou les deux).

  2. Lancez ConversationOrbot. Activez le "mode RPV" puis allez dans "Applis pouvant utiliser Tor" et cochez Movim et Conversation.

  3. Lancez Movim ou Conversation et rentrez les informations pour vous connecter ou créez un nouveau compte. (Attention : la création de compte est gratuit dans la fédération Movim, mais payant chez Conversation (8€ par an))

  4. Si vous utilisez Conversation, rendez-vous dans les Options puis Options avancées et cochez "utiliser Tor"

  5. Enjoy !

Conversation

screenshot application android Conversation

Movim

screenshot application android Movim

via SMS

Note : tout message envoyé non chiffré peut être lu par l'opérateur.

Silence (le plus sécurisé)

Silence Logo

Silence est une application libre (GPLV3) permettant d'envoyer/recevoir des SMS. Ça particularité est de chiffrer les sms et donc de les rendre illisible autant pour les autres applications que pour un éventuel voleur de smartphone. Par contre il n'est pas très résistant contre les brute force via serveur.
La sécurité qu'il amène peut par contre provoquer des problèmes d'intégration avec d'autres applications: l'application contact ne pourra plus afficher les derniers sms envoyé/reçu dans les informations du dit contact, Nextcloud-SMS ne pourra plus récupérer les sms ni les applications de backup d'ailleurs.
Silence peut envoyer des sms chiffré si l'expéditeur et le récepteur ont tout deux l'application d'installée. Mais le chiffrement à un coût : la taille d'un SMS passe de 140 caractères à une septantaine seulement.
Petit défaut : les émoticônes ne sont pas toujours automatiquement transformé en image.

screenshot application android Silence

QKSMS (le plus intégré)

QKSMS Logo

QKSMS est une application libre (GPLV3) permettant d'envoyer/recevoir des SMS. Il est très bien intégré au système Android et peut fonctionner avec Nextcloud-SMS etc. Les mises à jours sont régulière, les émoticônes automatiquement transformé en image (si vous avez cochez l'option dans les paramètres), les sms ne sont pas chiffré.
Selon vos préférences, vous pouvez l'installer via F-Droid soit via Google Play Store.

Android-QKSMS-Demo

Gestion de la mémoire

Le cloud et la synchronisation des données

Vos données font partie de votre mémoire et il faut y prendre soin. Ainsi il est important de sauvegarder ses données afin de se prévenir des pannes matérielles. Avant on utilisait des backup/sauvegardes sur des disques dur externe qui prenaient la poussière. Et lorsque le disque dur externe tombait en panne, on perdait nos données. Aujourd'hui il y a le cloud qui permet de sous-traiter la mémoire chez un fournisseur cloud. Bien entendu rien ne vous empêche d'être vous même votre propre fournisseur cloud.
Mais attention, le cloud permet de se prémunir des pannes matériels mais pas d'un piratage ou extorsion de mot de passe.
Pour ce faire privilégiez donc des services auprès de fournisseurs envers qui vous avez relativement confiance. Ces fournisseurs de cloud doivent autant que faire ce peut utiliser des technologies libre qui ont pour énorme gain entre autre de pousser à toujours plus de sécurité.
N'hésitez pas à couper la synchronisation durant la nuit sauf si vous avez des données à synchroniser. En effet les logiciels de sync consomment autant d'énergie et de data de nuit que de jour.
Avec un serveur Nextcloud (tuto d'install) et votre Android, vous pouvez :

Le chiffrement

Vous pouvez chiffrer le contenu de la mémoire du smartphone et ce sans installer d'application supplémentaire, c'est complètement géré par Android. Le chiffrement permet de rendre illisible le contenu de la mémoire pour un voleur tant que ce dernier ne dispose pas d'une puissance de calcul suffisante pour lancer un brute-force.
Sachez que le chiffrement a un impacte sur les performance de la machine, qui peut varier en fonction du CPU et de la qualité de la mémoire.
Attention : le chiffrement de la mémoire n'est pas toujours compatible/stable avec les Bootloaders déverrouillés, bien que les retours ont l'air positif. Par contre toutes les ROM ne supportent pas forcément le chiffrement.

Gestion des applications

Gestion des permissions.

Comment gérer les permissions des applications.

  • Paramètres => Applications => Paramètres => Autorisation des applications Autoriser le moins de permissions possible aux applications ;)

screenshot-2018_05_30-Android-Acceder_menu_permissions_applications

L'utilisation de fake data pour les applications demandant trop de permissions.

  • XPrivacyLua (pour android 6 ou plus) ou XPrivacy (pour android 5 ou moins) permet d'envoyer de leurrer les applications. Si vous êtes obligé d'installer une application demandant trop de permissions, c'est fait pour vous. Root est obligatoire.

screenshot XPrivacy

Gérer le démarrage des applications.

Lors de leur installation ou de leur paramétrage, les applications peuvent "demander" à Android de les lancer lorsqu'il y a certains évènements : démarrage (boot) de la machine, connexion à internet en wifi ou en data, extinction de la machine, etc.
Vous pouvez utiliser l'application libre Autostarts (ou via PlayStore/Yalp) pour gérer quelle application peut démarrer en fonction de quel type d'évènement. Root est obligatoire.

Android-Autostarts-Demo

Forcer la suppression d'applications.

Certaines applications comme facebook, AVG et compagnie sont installées par les opérateurs (contre rétribution) avec blocage pour empêcher l'utilisateur final de les désinstaller. Pour contrer cela, vous pouvez utiliser Lucky Patcher en root afin de les supprimer. Attention : évitez de demander a Lucky Patcher de supprimer quelque chose de nécessaire au bon fonctionnement de votre machine. (si non bootloop)
Pour supprimer des applications vous pouvez utiliser Lucky Patcher. Ce dernier permet de forcer la désinstallation d'application, la suppression de publicité et autres hacks. Root est obligatoire.
Pour supprimer une application vous n'avez qu'à lancer Lucky Patcher, chercher la dite application, cliquer dessus puis choisir "Désinstaller l'application".
Attention : avant de supprimer une application vérifiez que votre système ou d'autres applications n'en dépendent pas. Pour ce faire désactivez la, checkez si aucune erreur ne se produit avec les autres applications ou pire le système Android. Ensuite redémarrez votre machine et si toujours aucune erreur ne se produit alors vous pouvez la supprimer. Pensez à faire un backup de l'application afin de pouvoir la restaurer en cas de problème. NE SUPPRIMEZ PAS LES APPLICATIONS FABRICANTS/OPÉRATEURS NI LES APPLICATIONS SYSTÈME AU RISQUE DE BOOTLOOP.

screenshot-2018_06_01-LuckyPatcher-Remove-Application

Android-LuckyPatcher-Demo

Les applications de rencontre

alice

Si vous avez moins de trente ans, c'est LA catégorie qui pompent vos données personnelles et qui pourtant reste incontournable.
Par contre dans cette catégorie n'espérez pas, il n'y a pas encore d'application de rencontre libre ni sans espionnage.
Donc voyons comment sauvegarder vos miches sans vous empêcher de tchatcher.

Les applications de rencontre généraliste (Badoo, Facebook, Meetic, Tinder, …)

Note : elles dépendent beaucoup de Google Play Service. Elles n'apprécient pas trop Orbot.

Elles n'ont pas besoin de la Géolocalisation (sauf si vous utilisez une fonctionnalité basé dessus).
Sur les versions d'Android permettant la gestion des permissions, vous pouvez leur verrouiller l'accès à quasi tout sans qu'elles cessent de fonctionner. Pour les Android plus vieux il faudra passer par XPrivacy comme expliqué plus haut. S'il faut vraiment autoriser des permissions contraignantes (par exemple l'accès à l'identifiant de l'appareil), passez par XPrivacyLUA.
Pensez autant que faire ce peut à supprimer les méta-données de vos photos via par exemple Scrambled Exif (sur F-Droid ou sur Google PlayStore). N'oubliez pas que les autres utilisateurs peuvent facilement re-copier vos photos et les utiliser pour faire de faux comptes ;)

Les applications basées sur la Géolocalisation (Happn, Meetwo, The League, …)

Note : elles dépendent beaucoup de Google Play Service. Elles n'apprécient pas trop Orbot.

Après utilisation, bien penser à "Forcer l’arrêt" de l'application dans le menu Application d'Android ou à minima de couper la Géolocalisation. Pour répondre au Match, il faut que l'application soit lancée et connectée à internet, mais pas besoin de la Géolocalisation pour cela.

Lutter contre les vols

Géolocalisation

Note : peut avoir une incidence sur la batterie et la charge réseau selon la configuration.

Vous pouvez régler un logiciel comme GPSLogger pour exporter votre Géolocalisation en permanence ou uniquement quand on redémarrage votre appareil.
Si vous disposez d'un compte sur un serveur nextcloud, vous pouvez suivre ce tutoriel : Exporter géolocalisation sur le cloud (Nextcloud/Owncloud) avec GpsLogger.

Utiliser des "Mot de passe d'application"

Certains services, comme Nextcloud, permettent de créer des mots de passe unique permettant d'être utilisés par une seule (ou plusieurs) applications. Ainsi en cas de vol, on pourrait éventuellement récupérer votre mot de passe d'application, mais pas le vrai password de votre compte (ni des éventuels autres services sur lequel vous pourriez avoir ré-utilisé ce password). Utilisez autant que faire ce peut ce mécanisme et en cas de vol/piratage allez révoquer directement les accès compromis et ce le plus vite possible.

L'accès à distance

Note : a une incidence sur la batterie et la charge réseau.

Certaines applications vous permettent de contrôler votre Android à distance (depuis un ordinateur). La plus connue est AirDroid hélas non libre et pas des plus saine (l'application permettant un contrôle depuis le site de l'entreprise). Il n'existe actuellement aucune alternative libre.

  • # L'enfer c'est les autres

    Posté par . Évalué à 8.

    Super boulot informatif !
    Tout ça c'est bien beau et un bon début, mais si seulement un bout de la chaîne prend soins de ses données, beaucoup d'effort inutile.
    Je préfère avoir une protection moindre mais des 2 coté de la chaîne.
    Je m'autohéberge, mais je désespère quand je voie 80 à 95% de mes correspondant en "@gmail.com", même dans le milieu ds libriste convaincu !
    Mon carnet d'adresse est synchroniser avec uniquement mon PC personnel, mais je sais très bien que google a le meilleur annuaire mondial possible, même de ceux qui ne se sont jamais inscrit.

    • [^] # Re: L'enfer c'est les autres

      Posté par . Évalué à 1.

      Mon carnet d'adresse est synchroniser avec uniquement mon PC personnel

      Intéressant … Comment fais-tu cela simplement avec un ordinateur et un smartphone, sans passer par un serveur GAFAM ou un serveur autohébergé ?

      • [^] # Re: L'enfer c'est les autres

        Posté par . Évalué à 2.

        Mon smartphone n'est pas un Android ni iPhone. Je fait simplement un recopie de tous les contacts (vcard) via FTP.
        Simple et suffisant.

        • [^] # Re: L'enfer c'est les autres

          Posté par . Évalué à 2.

          OK. C'est comme cela que je procède aussi. Mais ce n'est pas tout à fait ce que l'on pourrait appeler la synchronisation du carnet d'adresse entre un smartphone et un PC.

  • # Accès à distance et XMPP

    Posté par . Évalué à 9.

    MAXS, pour Modular Android XMPP suite permet de faite tout un tas de choses à distance, pourvu qu'on puisse créer un compte XMPP pour l'appareil lui-même.

    Et puis si on suit le reste des conseils, on est déjà sur XMPP de toute façon.

    Mais à noter aussi: il y a bien une appli Android Movim, mais je crois qu'elle est en manque de main d'oeuvre. Préférer la version web. Si Edhelas passe dans le coin il pourra confirmer.

    Et si on utilise XMPP, préférer aussi le serveur perso ou au moins un serveur de confiance, vu l'état du chiffrage bout-à-bout. Avec des serveurs de confiance, le chiffrage client-serveur et serveur-serveur suffit.

    Dernier point: l'état de la voip sur XMPP est aussi très inégal, vérifier ce que le client peut faire (Conversations ne peut faire ni voix ni vidéo).

  • # chouchi techhhhnique

    Posté par . Évalué à -3. Dernière modification le 03/06/18 à 17:47.

    C'est dimanche et donc combo de bugs !
    D'un côté l'affichage des images sur LinuxFR qui pète un plomb, mais les noms de domaine de l'article original s'y mettent aussi.
    En attendant, si vous souhaitez lire l'article original je vous invite à passer par le lien Tor http://fr47f6ecynx4dgq6.onion/forum4/viewtopic.php?f=79&t=779 (ou au pire via le lien tor2web mais lui est leeeeeeeent à mourir)

    Bonne lecture.

    Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

  • # Pourquoi la JVM est une machine virtuelle?

    Posté par . Évalué à 4.

    J'ai ete un peu surpris de lire ca:

    Android est un moteur Linux, faisant tourner une machine virtuelle (émulateur) exécutant du Java.

    Pourquoi machine virtuelle en fait et pourquoi emulateur? Ce n'est pas juste un interpreteur de bytcode?

    En fait, apres recherche, la JVM emule un processeur. Elle fait donc un peu le meme travail que les machines virtuelles Virtual Box et autre VMWare finalement.

    Voila la source: https://stackoverflow.com/a/861443

    • [^] # Re: Pourquoi la JVM est une machine virtuelle?

      Posté par . Évalué à 7.

      Android n'utilise pas la JVM (c'est tout le problème que Google a avec Oracle). Il a une machine virtuelle (en fait il y en a eu différentes) qui exécutent un bytecode qui n'est pas celui de la JVM non plus. Quand tu développe pour Android, tu écris du java que tu compile en bytecode JVM. Puis il est transpilé en Dex bytecode pour la VM d'android (historiquement Dalvik aujourd'hui ART).

      Je ne me suis par contre jamais intéressé au fonctionnement internet de Dalvik ou de ART ni à la représentation Dex.

  • # Fairphone

    Posté par . Évalué à 6. Dernière modification le 03/06/18 à 18:29.

    Super article, merci ! 

    En rebond au chapitre «Avant l'achat», je souhaite faire de la pub pour le Fairphone 2.

    Le constructeur supporte officiellement deux versions d'Android, une «classique» et une «Open Os» :
    - sans les google apps
    - root supporté officiellement
    - bootloader déverrouillé
    - chiffrement du téléphone parfaitement fonctionnel
    - mise à jour de sécurité android régulières
    - F droid est bien intégré (F-Droid Privileged Extension est pré-installé)

    Je l'utilise quotidiennement, avec certaines des applications citées dans l'article, et j'en suis ravi !

    PS : ça vaudrait bien une dépêche non ?

  • # Manichéisme

    Posté par . Évalué à 9.

    La raison pour laquelle l'accès root est aussi difficile à avoir est simple : vous interdire de supprimer les applications publicitaires, ainsi que les spywares fabricants/opérateurs/fournisseurs/étatiques et vous empêcher d'avoir le contrôle complet de votre machine.

    Je trouve dommage de ne pas faire l'effort d'instruire à charge et à décharge. Que tu pense que c'est faux est une chose et tu peux l'expliquer, mais indiquer l'argument des OEM et Google serait plus honnête : ils le font pour limiter les problèmes dans les cas où l'utilisateur installe du code malicieux (et c'est pour ça qu'ils remettent en cause le support). Cela permet par exemple de garantir que l'outillage de google pour bloquer à distance un appareil perdu/volé fonctionne.

    Oui ça permet aussi à Google de potentiellement bloqué lui-même l'appareil, oui ça infantilise l'utilisateur, etc. Mais c'est mieux en l'expliquant qu'en essayant de le cacher.

    • [^] # Re: Manichéisme

      Posté par . Évalué à 2. Dernière modification le 03/06/18 à 23:32.

      ils le font pour limiter les problèmes dans les cas où l'utilisateur installe du code malicieux (et c'est pour ça qu'ils remettent en cause le support). Cela permet par exemple de garantir que l'outillage de google pour bloquer à distance un appareil perdu/volé fonctionne.

      C'est se que eux disent et, au vu du nombre de malwares (*1) qui pullulent sur Android je ne suis pas d'accord avec leurs raisons évoquées. Afin de réduire l'article au maximum (*2) j'ai donc évité volontairement d'expliquer cela.
      Mais n'hésitez pas à en débattre, peut-être cela amènera-t-il des précisions intéressantes :)

      *1 dont beaucoup se résument à de simple applications, style jeux, trouvable dans la Google Play Store et qui pompent les données en profitant que l'utilisateur n'a pas une compréhension des données privées

      *2 article qui s'adresse à un plus large publique cette fois (publique pas forcément motivé à lire du contenu trop détaillé/volumineux)

      Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

      • [^] # Re: Manichéisme

        Posté par . Évalué à 7.

        C'est se que eux disent et, au vu du nombre de malwares (*1) qui pullulent sur Android je ne suis pas d'accord avec leurs raisons évoquées. Afin de réduire l'article au maximum (*2) j'ai donc évité volontairement d'expliquer cela.

        He ben je ne suis pas du tout d'accord avec ton excuse. Tu prends le temps d'affirmer ton opinion, mais tu n'évoque pas l'argument d'en face. Tu aurais voulu limiter la taille de l'article tu n'aurais pas expliqué. Parce que :

        • soit on considère qu'il faut rooter son téléphone en son âme et conscience et on donne toutes les clefs de compréhension (même celles qui ne nous plaisent pas)
        • soit on considère que ça n'est pas utile au déroulement de ton tuto et on dit juste que ça permet aux appli de passer administrateur

        En l'état je trouve sincèrement malhonnête d'avoir une présentation uniquement dans un sens alors qu'il ne s'agit pas clairement d'un billet d'humeur. C'est ton avis, peut être, mais il n'est pas indiqué comme ça dans l'article.

        En soit ce n'est pas grave, mais j'aime de moins en moins les articles (de manière générale) qui sont hyper orientés comme cela. Ça me donne l'impression qu'on me prend pour un idiot.

        • [^] # Re: Manichéisme

          Posté par . Évalué à 1. Dernière modification le 04/06/18 à 14:05.

          He ben je ne suis pas du tout d'accord avec ton excuse. Tu prends le temps d'affirmer ton opinion, mais tu n'évoque pas l'argument d'en face. Tu aurais voulu limiter la taille de l'article tu n'aurais pas expliqué. Parce que :

          Un malware qui arrive à avoir un accès root aura plus de privilèges, mais une bonne partie de ses actions sont faisable sans accès root (il suffit que l'utilisateur accepte les permissions (petit rappel #AngryBird)).
          Le plus risqué avec l'accès root n'est non pas les malwares mais la suppression d'applications (j'ai bootloop mon dernier appareil 48h après sa réception, et le précédent il m'avait fallu ré-installer ma custom rom plein de fois pendant les 2 premiers mois suite à l'instabilité provoquée par la suppression d'application système dont les noms ne me revenaient pas).

          Honnêtement j'ai l'impression que supprimer l'accès root est plus une idée du service marketing (qui avait besoin d'un moyen d'empêcher de supprimer les applications "forcées") que du service sécurité (certaines options des antivirus nécessite d'ailleurs root)

          Mais je comprends ton point de vue de vouloir expliquer cette raison évoquée par les gafam.

          Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

  • # Processeur de bande de base propriétaire

    Posté par . Évalué à 2.

    Le problème viendra toujours du processeur de bande de base (pas très beau en français d'ailleurs…) qui est complètement fermé et qui a la main totale sur le téléphone. Il a donc la possibilité d'avoir accès à toutes les informations contenues sur le téléphone chiffrées ou pas d'ailleurs.

    L'avantage en passant par là c'est que tout peut se passer à distance et ça c'est moins cool…

    • [^] # Re: Processeur de bande de base propriétaire

      Posté par . Évalué à 3.

      Vu que t'es pas mis de lien, je me permet de compléter.

      Le processeur de bande de base est le composant autonome qui s'occupe des communications par radiofréquences, et qu'on appelle à tort un "modem" dans le langage courant (mais honnêtement je trouve ça plus évocateur).

      En plus d'être une boite noire, l'autre problème est que dans les téléphones/tablettes la plupart de ces puces sont intégrées directement au SoC principal (le processeur d'application) donc il n'est pas possible de les désactiver de manière certaine, physiquement, sans retirer la batterie. En gros, même quand on se met en Mode Avion on a aucune garantie que le téléphone ne fasse pas de temps en temps des signalements de sa position.

      Bref, c'est l'Intel Management Engine et l'ARM Trustzone en pire et c'est pour ça que faute d'une solution libre, un interrupteur physique est prévu par Purism pour leur Librem 5.

      • [^] # Re: Processeur de bande de base propriétaire

        Posté par . Évalué à 4.

        du point de vue du fabricant, le modem était toujours "trusté", c'est le points de vue des telco.

        Mais il existe certain SOC, ou le modem n'a pas accès à la mémoire du processeurs principal. je n'ai plus la marque en tête mais ce n'était pas un truc inconnu.

        "La première sécurité est la liberté"

        • [^] # Re: Processeur de bande de base propriétaire

          Posté par . Évalué à 1. Dernière modification le 04/06/18 à 19:07.

          L'ordinateur qui gère le téléphone à vraiment accès à tout le contenue mémoire de l'ordinateur principale (où tourne Android) et de la communication réseau (wifi et bluetooth compris) ?

          Genre si Alice envoi un message sur Movim à Blanche-Neige, que se soit en Wifi ou en 3/4/5 G, la "boite noire" peut lire le message (en clair) malgré la crypto des logiciels Movim/Tor ?

          Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

          • [^] # Re: Processeur de bande de base propriétaire

            Posté par . Évalué à 5.

            Par défaut, c'est juste un autre processeur ARM avec des DSP sur les même bus mémoires que le gros ARM applicatifs.

            Donc, le modem voit passer des trucs cryptés. Par contre, il a tout pouvoir pour aller à la pèche dans la mémoire de l'arm applicatif. On peut imaginer un ver qui s’exécute sur ce processeurs pour aller chercher des secrets.

            Il existe parfois des "firewalls" hardware (sur les puces TI, il y en a) mais ils sont rarement utilisés (mode "secure"). Et je sais qu'une boite avait fait un SoC qui séparait clairement les 2 cpus pour éviter le problème.

            "La première sécurité est la liberté"

  • # Autostarts

    Posté par (page perso) . Évalué à 3.

    Gérer le démarrage des applications.

    Lors de leur installation ou de leur paramétrage, les applications peuvent "demander" à Android de les lancer lorsqu'il y a certains évènements : démarrage (boot) de la machine, connexion à internet en wifi ou en data, extinction de la machine, etc.
    Vous pouvez utiliser l'application libre Autostarts (ou via PlayStore/Yalp) pour gérer quelle application peut démarrer en fonction de quel type d'évènement. Root est obligatoire.

    Je découvre avec intérêt cette possibilité, en revanche cet Autostarts semble abandonné, et du coup plus disponible sur F-Droid. Quand à Google Play, je n'utilise évidemment pas ce truc intrusif. Connaissez-vous des alternatives à Autostarts pour gérer les démarrages automatiques de logiciels ?

    • [^] # Re: Autostarts

      Posté par . Évalué à 2.

      En attendant une alternative, tu peux l'installer sur fdroid en activant le dépôt "FDroid archive" ou en passant par le yalpstore (qui permet d'accéder au catalogue de google play store mais sans l'installer et sans compte google)

      Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

    • [^] # Re: Autostarts

      Posté par . Évalué à 1.

      Il y a un module BootManager pour Xposed

  • # Excellent : merci !

    Posté par (page perso) . Évalué à 4.

    Merci pour ce petit tour d'horizon permettant de démoroniser son téléphone.
    Je suis passé a LineAge dès la fin de garantie de mon S5, car le monde étant ce qu'il est, rooter le téléphone faisait sauter la garantie matérielle (est-ce toujours d'actualité ?)…. Illégal, mais j'ai autre chose a foutre que de passer 6 ans dans les tribunaux.
    Android ne me plaît vraiment pas c'est une plaie en ergonomie, mais sous sa forme verrouillée ça l'est aussi en fuite de données : Samsung doit avoir la plus grosse base de données mondiale de fréquence cardiaque ….
    Je note donc avec un immense plaisir l'existence de brouilleur de données qui envoie du yaourt aux applis qui exigent l'accès à tout (genre DJI Go ou GoogleStore). Ce genre de brouilleur est doublement salutaire : non seulement il permet de pourrir les bases de tes données personnelles mais en plus ils vont bien niquer les bases de réalité terrain des IA diverses. Je sens qu'on va bien rigoler quand ces IA prendront des décisions sur une base de connaissance moisie :)

    Donc énorme merci d'avoir fait ce petit état de l'art sur la téléphonie, ça permet aux gens comme moi qui n'aiment pas ce qu'on a fait du smartphone de le rendre un peu moins pourri.

  • # r00t

    Posté par . Évalué à 1.

    Par expérience sur Android, je dirai que rooter son appareil n'est pas un gage de sécurité… je serai pas loin de dire "au contraire"… Pour avoir eu différents appareils Android, les méthodes de root sont scabreuses. Entre autre, j'ai rooté une tablette Android avec des trucs style "Kingo Root" (ou je ne sais plus le nom) qui se "connecte à un serveur de base de données" pour pouvoir rooter l'appareil, ou non d'ailleurs… je suis à peu près certain que les données de la tablette ont fini sur un serveur chinois… Quand ce n'est pas de télécharger des fichiers de chez XDA dont on connait pas forcément la provenance et le faire avec des procédures plus ou moins compliquées.
    La seule réelle sécurité est de désactiver un maximum possible d'applis préinstallées et utiliser Fdroid qui marche parfaitement même sans root (et c'est ce que je fais), et éviter d'installer des applis qui ont trop de permissions.
    J'aurai un peu le même avis avec Tor. Je l'ai connu à l'époque quand c'était encore confidentiel. Ça avait du sens. Maintenant, j'en connais un paquet de quidam qui se croient à l'abri avec Orbot… Un réseau qui est peut-être maintenant encore plus surveillé que l'Internet lui-même (CIA, te voilà).

    • [^] # Re: r00t

      Posté par . Évalué à 1. Dernière modification le 05/06/18 à 14:17.

      Pour l'accès root, se sont les problèmes lorsqu'on est forcé d'utiliser des hacks. Certaines marques s'en sortent mieux que d'autres (par exemple HTC qui est pas mal, il parait que samsung est bien à ce niveau aussi, Arnova aussi pour certaines versions/modèles avoir l'accès root se résume à aller l'activer dans les paramètres d'android).
      Le problème est pareil avec les Windows piraté (on est jamais sur qu'il est clean).

      J'aurai un peu le même avis avec Tor. Je l'ai connu à l'époque quand c'était encore confidentiel. Ça avait du sens. Maintenant, j'en connais un paquet de quidam qui se croient à l'abri avec Orbot… Un réseau qui est peut-être maintenant encore plus surveillé que l'Internet lui-même (CIA, te voilà).

      Il ne faut certes pas croire que Tor amène anonymat et sécurité à 100% dans tout les cas de figure, mais il ne faut pas sombrer dans la théorie du complot.
      Le réseau est conçu pour prendre en compte que des machines/membres sont compromis.
      Ainsi l'impacte avec les Tor Hidden Service est quasi inexistant (d'ailleurs Silkroad ne s'est pas fait fermé faute à Tor mais car l'admin du site a oublié de désactiver mod_status (*1) et utilisait gmail).
      Quant aux services (genre web, ftp) :

      1. Si tu passes sans crypto (http par exemple) c'est clairement du suicide, mais si tu passes avec crypto (https autosigné ou https trusté), c'est une autre paire de manche.

      2. En https autosigné ils (les Exit Nodes) peuvent encore tenter une écoute active (mais qui risque de se faire détecter si l'utilisateur vérifie manuellement ou s'il y a vérification logiciel (par exemple SSH, ou HaProxy qui vont refuser la connexion si le certificat n'est pas bon)).

      3. En https trusté pour arriver à faire l'écoute active il faut pouvoir générer un certificat signé par un organisme de certification reconnu par le client. C'est possible (erdogan l'a déjà fait) mais détectable et utilisable uniquement si on ne vérifie pas le certificat (que se soit manuellement ou automatiquement).

      Après tu as des trucs plus subtile comme les clients Torrent qui vont faire passer les download/upload via Tor mais pas les requêtes DNS. Mais le soucis provient du client et non pas de Tor encore une fois.

      Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

  • # Fairphone

    Posté par (page perso) . Évalué à -1.

    Je me permets de rappeler l’existance du Fairphone, qui est disponible d’entrée de jeu sans malware, avec un support officiel d’une version Android open-source (« rooté » et sans les applis Google) !

    Tout cela, additionné aux efforts sociétaux et environnementaux de Fairphone, fait que je ne considère tout simplement plus les autres smartphones comme des alternatives.

  • # NetGuard

    Posté par . Évalué à 1.

    J'utilise depuis peu NetGuard pour bloquer les fuites invisibles.
    Je suis impressionné par le nombre, la fréquence et la destination des tentatives de connexions sortantes qu'il m'a révélées. Et encore, j'ai très peu d'applis non libres.
    Mention spéciale pour Garmin Connect qui, même fermé, passe (passait) ses journées à essayer de se connecter chez Facebook.

  • # Commentaire supprimé

    Posté par . Évalué à -1. Dernière modification le 17/06/18 à 11:12.

    Ce commentaire a été supprimé par l'équipe de modération.

  • # Commentaire supprimé

    Posté par . Évalué à 0. Dernière modification le 22/06/18 à 15:13.

    Ce commentaire a été supprimé par l'équipe de modération.

  • # Commentaire supprimé

    Posté par . Évalué à 0. Dernière modification le 18/08/18 à 21:55.

    Ce commentaire a été supprimé par l'équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.