jeudi 1 août 2013

Le prochain Android lorgne du côté de SE Linux

Tendance naturelle ou avec quelques arrières pensées discrètes qui ne se cacheraient même plus (1), la v4.3 d’Android, prochaine version du système d’exploitation de Google, devrait voir le jour sans tarder. Elle doit permettre un saut qualitatif en matière de sécurité des données. Revue synthétique des améliorations attendues.

L’évolution la plus importante concerne sans nul doute l’adoption plus marquée de la plateforme logicielle SE Linux (Secured-Enhanced Linux – Linux Amélioré Sécurisé). Qui est développée par la NSA (2) et est mise à disposition sous licence GNU/GPL (3). Issue de ces travaux, un SE Android a été créé par un collectif de développeurs. Une initiative suivie de près par Google et qui lui a probablement permis d’observer à bon compte le comportement de son OS ainsi sécurisé. Une politique des droits d’accès plus fine et l’utilisation d’un « bac à sable » (sandboxing (4)) pour lancer les applications sont l’une des autres évolutions. L’objectif final étant de limiter l’exploitation illégale du terminal par l’escalade des privilèges.

Un effort particulier a été porté sur le stockage des clés cryptographiques au niveau de l’Android KeyChain, particulièrement utilisé pour les connexions wifi et l’établissement de tunnels VPN. Maillon faible par excellence, une meilleure protection de ces éléments, au cœur de la sécurité du terminal, devrait représenter un gain sensible en termes de sécurité. Par cohérence, la création et la gestion de clés pourra être cloisonnée pour chaque application, une fonction rendue possible par l’amélioration du KeyStore. La création d’un second profil utilisateur permettant l’implémentation de restrictions très fines et la possibilité d’utiliser le protocole sécurisé WPA/EAP, donc avec serveur Radius (5), sont les autres améliorations notables.

Même s’il ne s’agit pas encore de la pleine adoption de SE Android, la convergence semble se dessiner. Google ne peut se permettre d’être le leader des systèmes d’exploitation mobiles et de laisser la prime à la sécurité à son concurrent à la pomme.

(1) ce blog recommande l'analyse de l’allié Egéa concernant l’affaire PRISM
(2) Lire mon article de janvier 2012 à ce sujet
(4)  les applications fonctionnent avec des accès plus limités au système d'exploitation ainsi qu'aux autres applications
(5) https://fr.wikipedia.org/wiki/Wi-Fi_Protected_Access

Aucun commentaire: