Chaque astuce geek qui vous permet de faire plus avec votre appareil Android enlève également une partie de sa sécurité. Il est important de connaître les risques auxquels vous exposez vos appareils et de comprendre les compromis.
Déverrouillage du chargeur de démarrage
Les chargeurs de démarrage Android sont verrouillés par défaut. Ce n’est pas simplement parce que le fabricant maléfique ou l’opérateur cellulaire veut verrouiller son appareil et vous empêcher de faire quoi que ce soit avec lui. Même les appareils Nexus de Google, destinés aux développeurs et aux utilisateurs d’Android, sont livrés avec des chargeurs de démarrage verrouillés par défaut.
Un chargeur de démarrage verrouillé empêche un attaquant d’installer une nouvelle ROM Android et de contourner la sécurité de votre appareil. Par exemple, supposons que quelqu'un vole votre téléphone et souhaite accéder à vos données. Si vous avez un code PIN activé, ils ne peuvent pas y entrer. Toutefois, si votre chargeur de démarrage est déverrouillé, ils peuvent installer leur propre ROM Android et contourner tout code PIN ou paramètre de sécurité que vous avez activé. C’est pourquoi le déverrouillage du chargeur de démarrage d’un appareil Nexus effacera ses données. Cela empêchera un attaquant de déverrouiller un appareil pour voler des données.
Si vous utilisez le chiffrement, un chargeur de démarrage non verrouillé pourrait en théorie permettre à un attaquant de compromettre votre chiffrement lors de l'attaque du congélateur, en démarrant une ROM conçue pour identifier votre clé de chiffrement en mémoire et la copier. Les chercheurs ont mené à bien cette attaque contre un Galaxy Nexus avec un chargeur de démarrage déverrouillé.
Vous souhaiterez peut-être verrouiller à nouveau votre chargeur de démarrage après l'avoir déverrouillé et installé la ROM personnalisée que vous souhaitez utiliser. Bien sûr, c’est un compromis en termes de commodité: vous devrez déverrouiller votre chargeur de démarrage si vous souhaitez installer une nouvelle ROM personnalisée.
Enracinement
L’enracinement contourne le système de sécurité d’Android. Sous Android, chaque application est isolée, avec son propre ID utilisateur Linux et ses propres autorisations. Les applications ne peuvent pas accéder aux parties protégées du système, ni les modifier, ni lire les données d’autres applications. Une application malveillante qui souhaitait accéder à vos identifiants bancaires ne pouvait pas surveiller votre application bancaire installée ni accéder à ses données, elles étaient isolées les unes des autres.
Lorsque vous rootez votre appareil, vous pouvez autoriser les applications à s'exécuter en tant qu'utilisateur root. Cela leur donne accès à l’ensemble du système, ce qui leur permet de faire des choses qui ne seraient normalement pas possibles. Si vous avez installé une application malveillante et lui avez donné un accès root, elle pourrait compromettre l'intégralité de votre système.
Les applications nécessitant un accès root peuvent être particulièrement dangereuses et doivent être scrupuleusement examinées. Ne donnez pas à des applications en qui vous n’avez pas confiance, l’accès root à tout ce qui se trouve sur votre appareil.
Débogage USB
Le débogage USB vous permet d'effectuer des opérations telles que le transfert de fichiers et l'enregistrement de vidéos sur l'écran de votre appareil. Lorsque vous activez le débogage USB, votre appareil accepte les commandes d'un ordinateur auquel vous le connectez via une connexion USB. Lorsque le débogage USB est désactivé, l'ordinateur ne dispose d'aucun moyen pour émettre des commandes sur votre appareil. (Cependant, un ordinateur peut toujours copier des fichiers dans les deux sens si vous avez déverrouillé votre appareil alors qu'il était branché.)
En théorie, un port de chargement USB malveillant pourrait compromettre les périphériques Android connectés s'ils disposaient du débogage USB et acceptaient l'invite de sécurité. Cela était particulièrement dangereux dans les anciennes versions d’Android, où un périphérique Android n’affiche aucune invite de sécurité et accepte les commandes de toute connexion USB si le débogage USB est activé.
Heureusement, Android affiche désormais un avertissement, même si le débogage USB est activé. Vous devez confirmer le périphérique avant de pouvoir émettre des commandes de débogage US. Si vous connectez votre téléphone à un ordinateur ou à un port de chargement USB et que vous voyez cette invite lorsque vous ne l’attendez pas, n’acceptez pas cette réponse. En fait, vous devez laisser le débogage USB désactivé, sauf si vous l'utilisez pour quelque chose.
L’idée selon laquelle un port de chargement USB pourrait altérer votre appareil est connue sous le nom de «prise de jus».
Sources inconnues
L’option Sources inconnues vous permet d’installer des applications Android (fichiers APK) hors du Play Store de Google. Par exemple, vous souhaiterez peut-être installer des applications à partir de l'App Store Amazon, installer des jeux via l'application Humble Bundle ou télécharger une application au format APK sur le site Web du développeur.
Ce paramètre est désactivé par défaut, car il empêche les utilisateurs moins avertis de télécharger des fichiers APK depuis des sites Web ou des e-mails et de les installer sans diligence raisonnable.
Lorsque vous activez cette option pour installer un fichier APK, vous devez envisager de le désactiver par la suite pour des raisons de sécurité. Si vous installez régulièrement des applications en dehors de Google Play, par exemple si vous utilisez Amazon App Store, vous pouvez laisser cette option activée.
Quoi qu'il en soit, vous devez faire très attention aux applications que vous installez en dehors de Google Play. Android va maintenant proposer de les analyser, mais comme tout antivirus, cette fonctionnalité n’est pas parfaite.
Chacune de ces fonctionnalités permet de prendre le contrôle total de certains aspects de votre appareil, mais elles sont toutes désactivées par défaut pour des raisons de sécurité. Lorsque vous les activez, assurez-vous de connaître les risques.