En novembre dernier, le célèbre développeur Chainfire trouvait un moyen de rooter les appareils sous Android 6.0 Marshmallow sans modifier la partition /system. C’était une excellente nouvelle puisque de cette manière, Google ne pouvait pas détecter que le mobile était rooté et il était donc encore possible d’utiliser Android Pay, qui nécessite un smartphone non rooté pour fonctionner.
Avec un peu d’ingéniosité, les développeurs chez Google ont mis à jour l’outil SafetyCheck qui permet d’analyser un appareil pour être sûr qu’il se conforme aux règles édictées par le géant de Mountain View. Avec la nouvelle version de l’outil, la nouvelle méthode de root – qui nécessite uniquement une image boot modifiée – est détectée par Google. La conséquence est simple : toutes les applications qui nécessitent un mobile non rooté pour fonctionner et qui utilisent l’API SafetyCheck pour le savoir deviennent inutilisables.
Android Pay ne fonctionne plus
Android Pay – la solution mobile de paiement sans contact de Google – ne fonctionne ainsi plus. L’application pourra encore être lancée, mais les tentatives de paiements échoueront. Les applications professionnelles comme Good for Enterprise ne pourront plus fonctionner non plus, si elles réclament un mobile non rooté. Il est possible de dérooter temporairement un terminal avec l’option « Full Unroot » proposée par Chainfire. Mais pour rerooter l’appareil, il faudra reflasher l’image de boot. Pas très pratique pour réaliser des paiements réguliers via Android Pay.
Des règles qui se durcissent
Si le root des appareils n’a jamais vraiment dérangé Google, l’entreprise a durci sa politique depuis la mise en service d’Android Pay. Le géant de Mountain View craint en effet – à raison – qu’un appareil rooté n’augmente les vulnérabilité d’Android Pay et que les utilisateurs du service voient leurs données bancaires dérobées plus facilement.
Un tel incident pourrait mettre un coup de frein à Android Pay et au paiement mobile en général, qui décolle petit à petit au gré de son arrivée progressive dans les différents pays du globe. Pour le moment, Android Pay est uniquement disponible aux États-Unis alors que ses concurrents comme Samsung Pay ou Apple Pay sont disponibles dans une poignée de pays, surtout asiatiques.
Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !
Le problème se situe plus au niveau des failles de sécurité qu'ailleurs. Le rootage, comme son nom l'indique, donne accès à l'utilisateur root qui a littéralement TOUS les droits sur l'appareil. Donc si une attaque sur le téléphone donne accès à root alors c'est TOUT le smartphone (ou TOUTE la tablette) qui est à la merci du pirate, Android Pay et son contenu inclus. Pour résumer si ton smartphone ou ta tablette sont rootés et que t'es attaqué, alors le pirate peut prendre le contrôle de tes moyens de paiement via Android Pay et donc vider ton compte en banque ! Du coup on peut comprendre que Google cherche à protéger ses utilisateurs de cela, ainsi que de se protéger eux-mêmes contre des idiots avides d'argent qui tenteraient de renflouer leur compte en portant plainte contre Google. ;-) Le plus simple serait de passer par les conditions d'utilisations, avec Google qui s'y déchargerait d'un tel problème. "Fais ce que tu veux avec le root mais Google ne sera pas responsable en cas de problèmes dû au root (dont les piratages d'Android Pay). Le root c'est dangereux, on t'aura prévenu." : voilà ce que Google devrait mettre dans ses conditions d'utilisation pour se prémunir des imbéciles. Ceux qui viendront quand même râler se feront débouter car ils n'avaient qu'à lire avant d'accepter les conditions (le fameux truc qu'on devrait TOUS faire).
ça n'a rien de yakafokon. Dans tous les OSs, il y a des droits d'admin. Je vois pas pourquoi les smartphones devraient verrouiller l'accès root. (les OSs modernes type OSX EC intègrent des mécanismes de protections de certains fichiers particulièrement sensibles au delà des droits d'admin, j'imagine que Win10 doit implémenter le même genre de paradigme). Heureusement qu'il faut pas être gourou android pour émettre des idées et concepts. C'est d'ailleurs la force de ne pas être un techo-über-spécialisé que d'être en capacité de prendre un peu de hauteur au lieu de rester avec ses oeillères la tête dans le guidon binaire. D'ailleurs peut-être serait-il temps d'avoir une vraie gestion des droits dans android si cette plateforme veut effectivement devenir un outil pro et pas que particulier-madame-michu. Peut-être qu'effectivement le "root" dans son sens UNIX oldschool (open-bar complet, problématique pour des systèmes comme Pay) ne serait pas si demandé si on pouvait gérer de manière plus granulaire, progressive / par couche, l'affectation de droits plus ou moins avancés, plutôt que l'actuel tout ou (surtout) rien... Vu le succès (sic) passé de G.Wallet, j'imagine qu'il y a pour le moment plus d'utilisateurs rootés qu'il n'y a d'intéressés à Wallet/Pay...
C'est quoi le rapport avec mon com' ? Je pointais juste du doigt le titre de l'article...
ben donner mes données bancaire a google ... jamais ca revient a envoyer un mail a tout les vendeurs en disant :" neeeed spam"
Pas d'android pay et on continuera à utiliser nos CB NFC
A 700€ le bout et les millions qu'ils en vendent, refuser la garantie car le client a rooter son téléphone est franchement abusé. A la limite ils facturent le prix de la reprog, mais de là a faire payer le quasi prix du téléphone, oui on peu parler du méchant industriel contre le gentil client. D'autant plus que la part de "trifouilleur" est minime, mais c'est elle qui a en partie fait qu'Android soit aussi complet et a cette capacité à s'adapter à chacun.
Pas grave il y à des custom non rooter ,
Au-delà de 100.000€ de dépôt, il me semble. J'aimerais les avoir ;-)
putaclica
A ce niveau-là, ils ont qu'à "forcer" la main aux dév's de SuperSU et consorts pour blacklister les apps liées à Android Pay. De cette manière si un accès ROOT est demandé sur ces apps, refus absolu par l'app' SuperSU ou X sans sollicitation de l'utilisateur.
Autant j'comprends la décision de Google, autant Android Pay... Ils ont oublié qu'une carte bleue et du liquide c'est encore, et le jeu de mot est voulu, monnaie courante ? Ils auraient pu nous dégoûter de l'absence d'Android Pay si : - on avait déjà pu y gouté - on s'y était habitué - on l'aurait trouvé furieusement plus pratique que de se promener avec une carte bancaire et/ou de la monnaie. Puis bon, je serais eux, je séparerais Android Pay des terminaux type smartphones et tablettes. Un petit bracelet NFC indépendant et tu prives pas tes utilisateurs du ROOT sur leurs terminaux principaux. Bref, Android Pay vs ROOT, le choix est tout fait de mon côté. Ma curiosité technologique est davantage stimulée par l'usage d'un système sur lequel j'ai les "pleins pouvoirs" :p
Je trouve ca logique que l'un empéche l'autre, ceux qui se plaignent maintenant seront les premier a manifester quand leurs compte sera débité pcq le cheat de candy crush trouvé sur une recherche google "koment triché a candy creush" aura réussi a toucher android pay a cause d'un root. Je suis pro-root mais contre les solution de paiement du genre
o s'en branle de leur service de merde qui servent a rien qu'a compliquer un truc bien simple : utiliser une carte bancaire Tout ca pour encore prendre des commissions et inventer un usage a la con de plus, pas de tel qui paye = plus sécurisé a tout les niveaux, fin de discutions
C'est deja le cas avec supersu qui te demande si oui ou non tu veux autoriser le root a tel appli
Don't be evil ki disait l'autre gros con....en attendant si tu veux faire comme tu veux chez Google, ben c'est pas toi qui décide. c'est comme Microsoft décidait de supprimer la possibilité d'être administrateur de Windows. Mais il y aura toujours des abrutis pour dire que ce n'est pas la même chose, android c'est pour le mobile, c'est plus sensible. Ils sont obliger de protéger l'utilisateur de lui même. Don't be evil....<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour tablette</a></i>
C'est voulu, pour attirer du clic, site gratuit, tout ça....
ces la course a l'armement qui n'en finira jamais. Les clients font n'importe quoi et ce retourne systématiquement vers les constructeurs pour endosser leur conneries. les constructeurs ne veulent plus avoir a payer pour des conneries, donc ils renforcent leur protection etc etc etc Il faut aussi arrêter avec le schéma méchant industriel contre gentil client. on paye les pots cassée aussi parce que beaucoup de monde ces mal comporté
Le pire, c'est que votre boutade sur la restriction d'usage de l'argent liquide est on ne peut plus sérieuse. Non seulement les paiements supérieurs à 1000€ sont interdit depuis septembre. Mais la France a également retranscrit (sans aucun vote et débat, le 20 aout 2015) le texte européen permettant aux banques en difficulté de puiser dans notre épargne pour se renflouer (en remplacement du renflouement par les états)
Pas intéressé par ses moyens de paiements ultra piratables, rien que le NFC c'est une passoire sans nom! Je préfère mille fois avoir le root sur mon téléphone, gérer les permissions, interdire les pubs que je veux, etc, etc, fuck Google et son espionnage incessant
Sur Miui tu peux décider pour quelles applications tu veux le root ou pas . Avec ce système ça ne devrait pas poser de problèmes.
c'est clair, perso r.a.f d'android pay . Entre un root qui donne accès à plein de chose et un système de payement parmi tant d'autre le choix est vite fait.
A les yaka faukon, comme c'est facile quand on peut juste l'ouvrir sans rien connaitre des enjeux et risques de telles modifications dans un OS. J'adore l'extrait d'article: "Un tel incident pourrait mettre un coup de frein à Android Pay et au paiement mobile en général" Un frein à Android Pay, pour qq geeks qui veulent rooter leur phones: les autres s'en foutent royalement :).
Jamais eu le problème avec le SAV de Samsung, même si le téléphone était rooté. Pour HTC en revanche, ils me l'ont renvoyé avec ce motif, je leur ai renvoyé par la suite en expliquant mon mécontentement et c'est passé. Des fois, gueuler un coup ça aide.
Android Pay n'est pas limité à 20 euros car c'est plus sûr qu'un paiement par carte NFC.
Oui c'est interdit. Mais comme dans l'automobile, les constructeurs ne le respectent pas à la lettre et il est laborieux de passer par des procès pour leurs forcer la main. Un jour peut être existera t'il en Europe les class actions pour que les consommateurs soient un peu mieux entendu...
Ils ont cas mieux sécuriser Android Pay de maniere à ce que l'on ne puisse pas éviter les payement, ça permettrait d'utiliser Android Pay avec root. Je sais que ce n'est simple, mais je pense qu'Android en est capable ! <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ils ont qu'à foutre, sur opt-in, leur android pay et autre trucs d'entreprise dans une partition à part sécurisée, avec mécanisme de crypto et de vérif d'intégrité de cette partition et de cette partition seulement, et laisser l'utilisateur avancé (moyennant une activation via le menu développeur caché par exemple) activer un accès root et bootloader proprement (sans pour autant que ce soit moyennant un disclaimer voidant la garantie, on sait tous que c'est du bullshit), plutôt que de tout verrouiller bêtement et forcer la communauté d'utilisateurs avancés à trouver des exploits qui pètent tous les mécanismes de sécurité en profondeur. Si les choses étaient pensées intelligemment par des ingés dès le départ, et pas comme d'hab avec une pensée business dans un régime d'urgence faut-que-soit-près-pour-hier, on arriverait pas ce genre de situation stupide.
Entre Android Pay ou le root mon choix est vite fait... Adiós Android Pay<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
C'est normalement interdit (en tout cas en Europe) malgré ce qu'on veut te faire croire. En tout cas pour la garantie matérielle.
Ce n'est pas tant le root qui gêne Google, mais bel et bien la combinaison root + Android Pay, il y a une sacrée différence pour moi. Le titre de l'article est donc mal choisi à mon sens...
Personnellement je ne vois pas l'intérêt de payer avec un mobile, la carte bleue n'a pas besoin de batterie et puis par NFC c'est limité à 20€ , aucun intérêt, donc même si mon téléphone était rooté je ne m'en servirais pas pour payer.
Dans l'histoire ce qui me fait peur c'est que les constructeurs et les opérateurs se servent de ce moyen de détection de root pour ne pas respecter les conditions de garanties. A voir dans le temps
Quoi ? Des achats anonymes ? Toi, tu as sûrement quelquechose à cacher. Dans le doute, on va te mettre sur écoute.
J'ai du cash, et ça fonctionne super bien ! et ceux même si il n'y a pas de lecteur de carte !
J'ai une carte bancaire et ça fonctionne super bien ! et ceux même si j'ai plus de batterie sur mon téléphone !
Autant Android pay osef, par contre si ça va plus loin ça va vite devenir saoulant. Qu'ils nous laissent avoir la main sur notre système...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Soit le root, soit Android Pay qui ne sera probablement jamais dispo ici ? Choix cornélien...
Il y a pas mal de remboursement tout de même... Et après vérification, oui, le rechargement par virement est gratuit.
On se passera d'Android Pay, on n'en mourra pas, loin de là
Remboursement temporaire
A priori, on peut recharger Orange Cash gratuitement par virement. Je recharge actuellement via CB, avec les 79c de charge. Après, avec tous les bons plans Orange Cash (dont le remboursement de 1€ par paiement), les 79c ne posent pas de problème.
Ce serait bien d'avoir Android Pay en Europe déjà. Pour l'heure, la seule solution que je vois c'est Orange Cash, et à 0.79€ le rechargement par CB, c'est pas super tentant (Enfin je dis ça, mais je sais pas si c'est pas pareil sur les autres solutions cela dit). Par contre, Orange cash a l'air de bien se défendre... Si on exclut les quelques bugs du NFC, apparemment dû au fait qu'il faut vraiment bien laisser le téléphone posé sur le terminal.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix