Android 14 permet de mettre à jour les certificats racine via Google Play pour protéger les utilisateurs contre les autorités de certification malveillantes

MobileJul 20, 2023

Le magasin racine d'Android nécessitait auparavant une mise à jour OTA pour ajouter ou supprimer des certificats racine. Ce ne sera pas le cas dans Android 14.

Android a un léger problème qui ne se dresse qu'une fois par lune bleue, mais quand c'est le cas, cela provoque une certaine panique. Heureusement, Google a une solution dans Android 14 qui résout ce problème dans l'œuf. Le problème est que le magasin de certificats racine du système Android (magasin racine) ne pouvait être mis à jour que via une mise à jour en direct (OTA) pendant la majeure partie de l'existence d'Android. Alors que les équipementiers et les opérateurs se sont améliorés pour publier des mises à jour plus rapidement et plus fréquemment, les choses pourraient encore être meilleures. C'est pourquoi Google a mis au point une solution permettant de mettre à jour le magasin racine d'Android via Google Play, à partir de Android 14.

Lorsque vous vous connectez tous les jours, vous êtes sûr que le logiciel de votre appareil est correctement configuré pour vous diriger vers les bons serveurs hébergeant les sites Web que vous souhaitez visiter. Établir la bonne connexion est important pour ne pas se retrouver sur un serveur appartenant à quelqu'un avec de mauvaises intentions, mais en toute sécurité établir cette connexion est également important afin que toutes les données que vous envoyez à ce serveur soient cryptées en transit (TLS) et, espérons-le, ne puissent pas être facilement espionné. Cependant, votre système d'exploitation, votre navigateur Web et vos applications n'établiront des connexions sécurisées avec des serveurs sur Internet (HTTPS) que s'ils font confiance au certificat de sécurité du serveur (TLS).

Comme il y a tellement de sites Web sur Internet, cependant, les systèmes d'exploitation, les navigateurs Web et les applications ne conservent pas une liste des certificats de sécurité de chaque site auxquels ils font confiance. Au lieu de cela, ils cherchent à savoir qui a signé le certificat de sécurité délivré au site: était-il auto-signé ou signé par une autre entité (une autorité de certification [CA]) en qui ils ont confiance? Cette chaîne de validations peut s'étendre sur plusieurs couches jusqu'à ce que vous atteigniez une autorité de certification racine qui a émis la sécurité certificat utilisé pour signer le certificat qui a finalement signé le certificat délivré au site que vous êtes visiter.

Le nombre d'autorités de certification racine est beaucoup, beaucoup plus petit que le nombre de sites Web qui ont des certificats de sécurité émis par eux, directement ou via une ou plusieurs autorités de certification intermédiaires, ce qui permet aux systèmes d'exploitation et aux navigateurs Web de conserver une liste des certificats d'autorité de certification racine qu'ils confiance. Android, par exemple, a une liste de certificats racine de confiance qui sont livrés dans la partition système en lecture seule du système d'exploitation à /system/etc/security/cacerts. Si les applications ne le font pas limiter les certificats à approuver, une pratique appelée épinglage de certificat, ils utilisent par défaut le magasin racine du système d'exploitation lorsqu'ils décident de faire confiance à un certificat de sécurité. Étant donné que la partition "système" est en lecture seule, le magasin racine d'Android est immuable en dehors d'une mise à jour du système d'exploitation, ce qui peut poser problème lorsque Google souhaite supprimer ou ajouter un nouveau certificat racine.

Parfois, un certificat racine est sur le point d'expirer, ce qui peut entraîner la rupture de sites et de services et l'envoi d'avertissements par les navigateurs Web sur les connexions non sécurisées. Dans certains cas, l'autorité de certification qui a émis un certificat racine est suspecté d'être malveillant ou compromis. Ou un nouveau certificat racine apparaît qui doit être ajouté au magasin racine de chaque système d'exploitation majeur avant que l'autorité de certification puisse réellement commencer à signer des certificats. Le magasin racine d'Android n'a pas besoin d'être mis à jour très souvent, mais cela arrive assez pour que le rythme relativement lent des mises à jour d'Android devienne un problème.

À partir d'Android 14, cependant, le magasin racine d'Android a devenir actualisable via Google Play. Android 14 a maintenant deux répertoires contenant le magasin racine du système d'exploitation: le susmentionné, immuable-outside-of-OTA /system/etc/security/cacerts et le nouveau fichier /apex/com.[google].android.conscrypt/security/cacerts pouvant être mis à jour annuaire. Ce dernier est contenu dans le module Conscrypt, un module Project Mainline introduit dans Android 10 qui fournit l'implémentation TLS d'Android. Étant donné que le module Conscrypt peut être mis à jour via les mises à jour du système Google Play, cela signifie que le magasin racine d'Android le sera également.

Outre la mise à jour du magasin racine d'Android, Android 14 ajoute et supprime également certains certificats racine dans le cadre de la mise à jour annuelle de Google du magasin racine du système.

Les certificats racine qui ont été ajoutés à Android 14 incluent :

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. Autorité de certification racine du serveur sécurisé ANF
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Certainement la racine E1
  5. Certainement racine R1
  6. Certum EC-384 CA
  7. Autorité de certification racine de confiance Certum
  8. D-TRUST BR Racine CA 1 2020
  9. D-TRUST EV Racine CA 1 2020
  10. DigiCert TLS ECC P384 Racine G5
  11. DigiCert TLS RSA4096 Racine G5
  12. CONFIANCE MONDIALE 2020
  13. Racine GlobalSign E46
  14. Racine GlobalSign R46
  15. HARICA TLS ECC racine CA 2021
  16. HARICA TLS RSA racine CA 2021
  17. Autorité de certification racine HiPKI - G1
  18. ISRG Racine X2
  19. Communication de sécurité ECC RootCA1
  20. Communication de sécurité RootCA3
  21. CA racine Telia v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. Autorité de certification racine TunTrust
  25. Autorité de certification racine vTrus ECC
  26. Autorité de certification racine vTrus

Les certificats racine qui ont été supprimés dans Android 14 incluent :

  1. Racine des chambres de commerce - 2008
  2. Racine mondiale Cybertrust
  3. DST racine CA X3
  4. CE-ACC
  5. Autorité de certification principale GeoTrust - G2
  6. Global Chambersign Racine 2008
  7. GlobalSign
  8. Institutions académiques et de recherche helléniques RootCA 2011
  9. Autorité de certification des solutions réseau
  10. Autorité de certification racine QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Autorité de certification racine FPS de Trustis
  18. Autorité de certification racine universelle VeriSign

Pour une explication plus approfondie des certificats TLS, vous devriez lire mon collègue L'article d'Adam Conway ici. Pour une analyse plus approfondie du fonctionnement du magasin racine actualisable d'Android 14 et de sa raison d'être, consultez l'article que j'ai écrit précédemment sur le sujet.