Android 14 peut être livré avec des certificats racine pouvant être mis à jour

MobileNov 21, 2023

Android 14 peut être livré avec des certificats racine pouvant être mis à jour, et cet article explique pourquoi c'est important.

Les certificats racine sont au cœur même de l'infrastructure à clé publique (PKI) et ils sont signés par des autorités de certification de confiance, ou Les CA. Les navigateurs, applications et autres programmes disposent d'un magasin racine préemballé qui signifie que ces certificats sont digne de confiance. Si vous visitez un site Web prenant en charge HTTPS mais n'utilisez pas de certificat signé par une autorité de certification dans le magasin racine de votre navigateur, le site Web sera signalé comme non sécurisé. En règle générale, les applications et les navigateurs peuvent mettre à jour leurs certificats, mais votre téléphone ne le peut pas, sauf via une mise à jour OTA. Cela pourrait changer avec Android 14, selon Esper.

Il y a eu quelques frayeurs au fil des années concernant les certificats, et cela est dû au fait que nous nous appuyons sur eux en tant que noyau d'une chaîne de confiance lorsque nous visitons des sites Web. Ici sur

XDA, notre certificat est signé par Let's Encrypt, une autorité de certification à but non lucratif. Leur certificat est signé par l'Internet Security Research Group, et c'est cette chaîne de confiance qui garantit que votre connexion à ce site Web est sûre et sécurisée. Il en va de même pour tout autre site Web que vous visitez et qui utilise HTTPS.

Chaque système d'exploitation possède son propre magasin racine intégré, et Android n'est pas différent. Vous pouvez réellement afficher ce magasin racine sur votre smartphone Android en accédant à la sécurité et à la confidentialité dans les paramètres de votre appareil. À partir de là, cela dépendra du type d'appareil que vous utilisez, mais les captures d'écran ci-dessous montrent où il se trouve sur OneUI 5.

Le fait est, cependant, que même ce magasin racine n’est pas la solution ultime. Les applications peuvent choisir d'utiliser et de faire confiance à leur propre magasin racine (ce que fait Firefox), et elles ne peuvent accepter que certificats spécifiques (appelés épinglage de certificat) dans le but d'éviter l'homme du milieu (MITM) attaques. Les utilisateurs peuvent installer leurs propres certificats, mais les développeurs d'applications doivent autoriser leurs applications à utiliser ces certificats depuis Android 7.

Pourquoi il est important d'avoir des certificats racine pouvant être mis à jour

Grâce à la signature croisée des certificats Let's Encrypt par l'Internet Security Research Group, un parcelle d'Internet dépend de la sécurité de l'ISRG. Si l'ISRG perdait le contrôle de sa clé privée (en cas de vol, par exemple), l'ISRG devrait alors révoquer la clé. Selon la réaction des entreprises, il se peut que certaines parties d'Internet deviennent inaccessibles aux appareils ne disposant pas de certificats racine pouvant être mis à jour. Bien qu’il s’agisse d’un scénario cauchemardesque complètement catastrophique (et purement hypothétique), c’est exactement le genre de scénario que Google veut éviter. C'est pourquoi ce qui se passe actuellement avec TrustCor pourrait signaler à Google qu'il est temps d'ajouter des certificats racine actualisables à Android.

Pour rappel, TrustCor est l’une de ces autorités de certification qui a fait l’objet d’un examen minutieux après que des chercheurs ont affirmé qu’elle entretenait des liens étroits avec un sous-traitant militaire américain. TrustCor n'a pas perdu sa clé privée, mais il a a perdu la confiance de nombreuses entreprises qui doivent décider quels certificats elles incluent dans leurs magasins racine. Ces chercheurs ont allégué que l'entrepreneur militaire américain dont TrustCor était proche avait payé des développeurs pour placer des logiciels malveillants de collecte de données dans des applications pour smartphones. Dans PKI, la confiance est primordiale, et TrustCor a perdu cette confiance une fois que ces allégations ont été révélées. Depuis lors, des entreprises comme Google, Microsoft et Mozilla ont abandonné TrustCor en tant qu'autorité de certification. La suppression des certificats TrustCor du magasin racine Android nécessitera cependant une mise à jour OTA, et bien que la validation soit déjà réalisé en AOSP, il faudra probablement beaucoup de temps avant que vous ou moi ayons réellement la mise à jour qui supprime les certificats de TrustCor de notre dispositifs.

L'avantage est que vous pouvez maintenant désactiver les certificats TrustCor sur votre appareil en accédant à vos certificats sur votre appareil, comme nous l'avons montré ci-dessus, puis faites défiler jusqu'à TrustCor et désactivez les trois certificats fournis avec votre appareil. Selon les développeurs du GraphèneOS projet, il devrait y avoir « très peu d’impact sur la compatibilité Web car cette autorité de certification est à peine utilisée par quelqu’un d’autre qu’un fournisseur DNS dynamique spécifique ».

La solution: le projet Mainline

Si vous connaissez Project Mainline, vous pouvez déjà voir comment cela peut aider à résoudre le problème. Google utilise les modules Mainline fournis via le cadre des services Google Play et le Google Play Store. Chaque module Mainline est fourni sous forme de fichier APK, de fichier APEX ou d'APK-in-APEX. Lorsqu'un module Mainline est en cours de mise à jour, l'utilisateur voit une notification « Google Play System Update » (GPSU) sur son appareil. En effet, pour fournir des mises à jour aux composants critiques, Google a contourné la nécessité d'attendre qu'un OEM déploie une mise à jour, choisissant d'effectuer la tâche lui-même. Bluetooth et Ultra-wideband sont deux modules Mainline essentiels gérés par Google.

Selon s'engager sur l'AOSP Gerrit (repéré par Esper), Conscrypt, un module Mainline qui fournit l'implémentation TLS d'Android, prendra en charge les certificats racine pouvant être mis à jour dans une future mise à jour. Cela signifierait que les certificats pourraient être supprimés (ou même ajoutés) via une mise à jour du système Google Play via Project Mainline, garantissant un processus beaucoup plus rapide si une autre situation comme TrustCor (ou pire) se produisait dans le avenir. On ne sait pas quand cela sera déployé, mais il est probable que cela arrivera sur Android 14. Il est techniquement possible que Google veuille le pousser avec Android 13 QPR2, mais cela ne profiterait qu'aux utilisateurs de Google Pixel jusqu'à ce qu'Android 14 atteigne tout le monde de toute façon l'année prochaine. En effet, les autres constructeurs OEM ne déploient généralement pas de mises à jour QPR.

La seule raison pour laquelle cela existe serait que Google puisse garder le contrôle sur un autre aspect crucial de la sécurité des appareils sans avoir à compter sur les OEM qui proposent des mises à jour. Une OTA est actuellement requise pour mettre à jour les certificats, mais dans une situation d'urgence, chaque jour où les utilisateurs ne disposent pas de mise à jour pourrait avoir de l'importance. Utiliser Project Mainline pour garantir que les utilisateurs peuvent obtenir des mises à jour de certificat cruciales à temps si jamais elles en ont besoin est certainement un changement bienvenu.

Source: Esper