Google renforce la sécurité contre Magisk, mais ce n’est pas grave

> Alors pardon mais malgré ton expérience dans le domaine (que je respecte), tu m'as encore lu en diagonale. Merci de ta réponse courtoise (pas d'ironie ici, c'est agréable de lire des réponses construites et argumentées, sans insulte, malgré tous nos désaccords). Pour te prouver que je ne te lis pas en diagonale, je vais tenter de répondre à ton message point par point. > Pour me faire comprendre, je vais commencer dans l'autre sens en parlant justement des plateformes desktop et serveur où tu peux justement faire un peu ce que tu veux vu que tu es l'admin. "Faire un peu tout ce que tu veux" si tu en as les droits évidemment. > Comment réalise-t-on des opérations de crypto sécurisées avec un serveur linux ou un poste client windows ? On ne peut avoir aucune garantie que les clés privées restent secrètes si elles sont hébergées en local. Un admin peut les lire Tout ceci n'a rien à voir avec le root mais avec le fait que sous Linux, il n'y a pas de notion de "sandbox" pour les applications. Elles tournent sur la machine nativement et ont donc accès à tous les fichiers de l'utilisateur qui exécute l'application. Si tu n'as pas confiance en l'application que tu exécute, tu peux l'exécuter en tant qu'utilisateur tiers (par exemple, les "clés secrètes" RSA sont stockées en mod 600, donc cet utilisateur ne pourra jamais les lire, sauf faille de sécurité qui pourrait exister sous Android aussi). Il existe aussi d'autres alternatives pour sandboxer les applications sous Linux (VM, docker, Flatpak,…). Par ailleurs, sous Linux et sous Windows, la règle a toujours été la même : c'est à l'utilisateur de juger si une application est digne de confiance. Pour ma part, je pense qu'on ne peut s'assurer de ça que si l'application en question est open-source, review par un nombre suffisant de personnes, et qu'elle provient d'une source fiable (typiquement dépôt officiel ou alors compilée chez moi). C'est du bon sens plus qu'autre chose, et ça s'applique aussi à Android, même si dans le cas d'Android on a une couche d'abstraction supplémentaire, c'est vrai. > tout comme un hacker qui réussirait une attaque. Oui, ça s'est vrai aussi pour Android. Si un hacker parvient à te faire exécuter un malware en full permission, il peut accéder à tous tes fichiers locaux. Et après ? C'est juste la preuve que l'utilisateur une machine se doit d'être responsable, mais ça on le savait déjà. > Elles sont souvent stockées dans un keystore protégé par mot de passe mais les applis ayant besoin de ce mot de passe, on peut le retrouver avec un peu plus d'effort. OK. OK. > Or dès qu'un doute existe, on considère que les clés sont compromises. Oui, c'est effectivement la pratique. Sauf que jusque là, je n'ai aucun doute. > C'est ce qui s'est passé avec heartbleed : on savait que les attaquants pouvait leaker des segments de la mémoire des serveurs web exécutant les versions vulnérables d'openssl. Or en mémoire on trouvait la clé privée utilisée pour l'authentification des serveurs pour les sessions TLS, la majorit é des serveurs web utilisant un fichier pkcs#12 stocké en local. Quelle a été la réaction des admins un tantinet compétents ? Patch d'openssl, génération de nouveaux certificats et révocation des anciens. La probabilité qu'un serveur lambda ait eu sa clé privée compromise est extrêmement basse mais elle existe. On ne prend donc aucun risque. Yep, c'est effectivement la bonne pratique. Comme si ton téléphone Android a été compromis, et je l'ai d'ailleurs fait : j'ai envoyé mon téléphone non-chiffré au SAV de LG. J'ai donc régénéré toutes mes clés privées, changé tous mes mots de passes, régénéré tous mes HOTP/TOTP. C'est universel, ça ne concerne pas que les serveurs ou les Desktop. Heureusement, je ne stockais pas mon numéro de carte sur ce téléphone (par contre, tout un tas de données personnelles sur lesquelles je ne peux malheureusement pas revenir :-( ) > La seule solution fiable permettant d'être plus confiant dans l'intégrité de ses clés privées est de les déporter en dehors du système. Pour les serveurs, on déporte le stockage des clés privées dans des HSM où la sécurité est beaucoup plus forte que sur ton serveur lambda. Pour les postes clients on utilise des tokens USB détenus par les utilisateurs. Oui, quand c'est faisable. Et tu le dis toi-même même, ça permet d'apporter un niveau supplémentaire de confiance, mais jamais d'être sûr. Ou d'une manière générale, apporter un voire plusieurs facteurs externes pour permettre de déchiffrer ou d'authentifier (MFA). Mais on s'éloigne du sujet. On ne parle pas de solutions efficaces, cryptographiques dans le cas présent de SafetyNet ou du root, mais respectivement de "sécurité côté client" et de déresponsabilisation. > On en revient donc à notre smartphone. Toute la difficulté de l'exercice, c'est que les constructeurs essayent de faire pareil avec un "HSM" intégré dans le téléphone. Euh pardon, moi jusque là, je vois que du logiciel. La clé qui vient d'ailleurs, son seul avantage, c'est justement qu'elle vient d'ailleurs (Lapalissade). Tant qu'on est sur le téléphone, on n'est pas ailleurs. > Chez Apple c'est la puce Secure Element. Les clés privées sont écrites directement en usine. Euh OK. Je connais pas spécifiquement Apple, mais j'imagine qu'il reste théoriquement possible de copier ou falsifier ce genre de puces, ou même de reverser-engeneer ce qu'il y a dedans et leaker les clés privées. Ou dans le pire des cas, si on m'explique que c'est impossible, il sera toujours possible de se mettre à l'autre bout du tunnel et de "simuler" un client legit de la puce : c'est ce que fait le système. En général, c'est plus de l'obfuscation qu'autre chose puisqu'au bout d'un moment, le logiciel demande de chiffrer quelque chose. Que le logiciel soit malveillant ou non de l'autre côté, la puce le fera. En plus, qui a pu voir ce qu'il y avait dans cette puce ? Qui peut garantir que les algos utilisés sont réellement forts ? On ne règle pas des problèmes de sécurité par de l'obfuscation. > Sous Android, je connait moins l'architecture d'Android Pay mais je devine qu'ils sont passés par une solution purement software puisqu'ils ne maîtrisent pas le hardware des différents constructeurs. Oui, ils tentent de passer par une solution purement software, mais c'est perte totale de temps objectivement tant qu'elle n'obtient pas un facteur extérieur exploitable pour du chiffrement (empreintes, mot de passe, clé Aladin…). Et c'est exactement la même chose pour toute solution hardware, elle n'apporte qu'un niveau supplémentaire d'obfuscation si elle tourne en local. > Toute l'intégrité de la solution repose donc sur le fait que le téléphone ne sera jamais rooté puisque en le faisant tu rends possible la lecture de la clé privée. C'est ce que je me tue à t'expliquer. TOUT téléphone Android est rooté dans le sens où l'utilisateur root existe, que le téléphone soit dit "rooté" ou non. Tout ce que fait Android par défaut (et que je conteste), c'est empêcher son utilisateur d'obtenir les droits roots. Ou empêcher d'autoriser une application à s'exécuter en tant que root. Mais je te rassure, certains processus systèmes ont bien les droits roots, c'est nécessaire à son fonctionnement. Donc mettre en place des puces sophistiquées ou des solutions logicielles aussi inutiles qu'inefficace, c'est peut-être bien, mais l'histoire de l'escalade de privilèges, ce n'est PAS un argument. La seule chose que ça permet d'éviter, c'est qu'un utilisateur benêt donne les droits root sans connaissance de cause, et ça, il y a d'autres moyens de l'éviter que de tout bonnement interdire le root, ou prétendre l'interdire (puisque Magisk nous montre que c'est impossible avec SafetyNet et perso, je le savais déjà, et Google s'en est déjà aperçu pour le simple root ; je te défie de trouver un téléphone grand public qui ne soit pas rootable). > Pour Android Pay, ça doit te permettre soit d'appeler le générateur de token sans passer par la sécurité associée (lecteur d'empreinte ou code secret) ou bien d'extraire la clé privée pour générer des tokens ailleurs que sur le téléphone. Oui, très bien très bien. Donc imaginons, le truc de Google est génial. Ça génère des token hyper fortement chiffrés, ça sécurise vachement la transaction, admettons. C'est nécessaire si on veut stocker le numéro de carte dans le téléphone dont acte. Qu'est-ce que ça change concrètement que mon téléphone soit rooté ou pas ? Imaginons, je n'ai donné aucun droits root à aucune application tierce. Qu'est-ce que ça change ? Rien du tout. Pas plus, pas moins risqué que la situation sans root. L'escalade de privilèges est toujours imaginable. Si j'ai écrit moi-même une application qui demande à être root, donc que je peux garantir qu'elle est 100% honnête, qu'elle ne cherche pas à voler des chiffrés ou quoi que ce soit, donne-moi une seule bonne raison qui fait que je n'ai pas le droit de l'exécuter ? Aucune. J'en viens à ma conclusion : la seule raison pour laquelle le root n'est pas disponible par défaut sous Android, c'est pour asservir son utilisateur. Lui empêcher de prendre le contrôle de sa machine. Le déresponsabiliser. Je suis propriétaire de ma machine, si je veux supprimer la racine, je dois pouvoir le faire, même si ça casse mon téléphone. Même si j'ai niqué mon EFS et perdu toutes mes données. Il n'y a aucune raison technique ou de sécurité qui fait que c'est interdit par défaut. Conclusion, c'est une privation de libertés et c'est complètement arbitraire. > Pour Netflix bah ça te donne accès à la clé de déchiffrement du contenu hors-ligne, ce que bien entendu Netflix ne veut pas que tu aies parce que ça compromet le contrat que tu as passé avec eux. Oui, ça te donne les droits à toi utilisateur. C'est bien d'avoir la main, non ? Par ailleurs, Netflix fait aussi de la "sécurité côté client", et c'est tout aussi ridicule. Ils pensent avoir besoin de ce genre d'absurdité soit par ignorance, soit parce qu'ils y sont forcés par des ayant-droits ignorants (j'ose espérer la seconde solution). > Donc Google n'empêche pas le root en soit, ils proposent aux applications de ne pas s'exécuter si le terminal a été rooté. Ils prétendent empêcher. Ils n'empêchent rien puisque ce sera toujours facile à contourner par construction même de ce genre de système (ce que j'appelle "sécurité côté client"). Et il n'y a encore une fois aucune raison valable d'empêcher le téléphone d'exécuter une application root, que ce soit pour Netflix, Candy Crush ou Android Pay. Même Netflix, en bout de chaine, ils doivent bien afficher des pixels non chiffrés, visibles par tes yeux. Spotify des vibrations audibles par tes oreilles. > Les raisons sont la sécurité ou l'utilisation commerciales de certaines applications. Libre à toi de rooter ton téléphone et de te passer de ces applications mais parler d'une pr ivation de liberté est fallacieux. Je crois avoir montré que ça n'était pas fallacieux. Déjà, tout logiciel ou toute logique de logiciel propriétaire est par essence privatrice de liberté. Ensuite, "libre à toi de rooter", non justement parce que les constructeurs et Google font tout leur possible pour empêcher à l'utilisateur d'obtenir les droits root (bootloaders verrouillés et autre "protections" inutiles type SafetyNet). Dans la mesure où il n'y a pas raison technique à ça, je ne peux aboutir qu'à une seule conclusion : on cherche à me priver de mes libertés. Donc tu peux juger que c'est une bonne chose (on peut certes considérer que c'est une bonne chose d'interdire le vol par la loi, de retirer les droits civiques à certaines personnes, etc…). Mais la privation de libertés est juste factuelle dans le cas présent, et à mon avis illégitime (ça c'est mon avis), et si pas illégitime complètement utopique (ça c'est factuel).

Alors pardon mais malgré ton expérience dans le domaine (que je respecte), tu m'as encore lu en diagonale. Pour me faire comprendre, je vais commencer dans l'autre sens en parlant justement des plateformes desktop et serveur où tu peux justement faire un peu ce que tu veux vu que tu es l'admin. Comment réalise-t-on des opérations de crypto sécurisées avec un serveur linux ou un poste client windows ? On ne peut avoir aucune garantie que les clés privées restent secrètes si elles sont hébergées en local. Un admin peut les lire tout comme un hacker qui réussirait une attaque. Elles sont souvent stockées dans un keystore protégé par mot de passe mais les applis ayant besoin de ce mot de passe, on peut le retrouver avec un peu plus d'effort. Or dès qu'un doute existe, on considère que les clés sont compromises. C'est ce qui s'est passé avec heartbleed : on savait que les attaquants pouvait leaker des segments de la mémoire des serveurs web exécutant les versions vulnérables d'openssl. Or en mémoire on trouvait la clé privée utilisée pour l'authentification des serveurs pour les sessions TLS, la majorité des serveurs web utilisant un fichier pkcs#12 stocké en local. Quelle a été la réaction des admins un tantinet compétents ? Patch d'openssl, génération de nouveaux certificats et révocation des anciens. La probabilité qu'un serveur lambda ait eu sa clé privée compromise est extrêmement basse mais elle existe. On ne prend donc aucun risque. La seule solution fiable permettant d'être plus confiant dans l'intégrité de ses clés privées est de les déporter en dehors du système. Pour les serveurs, on déporte le stockage des clés privées dans des HSM où la sécurité est beaucoup plus forte que sur ton serveur lambda. Pour les postes clients on utilise des tokens USB détenus par les utilisateurs. On en revient donc à notre smartphone. Toute la difficulté de l'exercice, c'est que les constructeurs essayent de faire pareil avec un "HSM" intégré dans le téléphone. Chez Apple c'est la puce Secure Element. Les clés privées sont écrites directement en usine. Sous Android, je connait moins l'architecture d'Android Pay mais je devine qu'ils sont passés par une solution purement software puisqu'ils ne maîtrisent pas le hardware des différents constructeurs. Toute l'intégrité de la solution repose donc sur le fait que le téléphone ne sera jamais rooté puisque en le faisant tu rends possible la lecture de la clé privée. Pour Android Pay, ça doit te permettre soit d'appeler le générateur de token sans passer par la sécurité associée (lecteur d'empreinte ou code secret) ou bien d'extraire la clé privée pour générer des tokens ailleurs que sur le téléphone. Pour Netflix bah ça te donne accès à la clé de déchiffrement du contenu hors-ligne, ce que bien entendu Netflix ne veut pas que tu aies parce que ça compromet le contrat que tu as passé avec eux. Donc Google n'empêche pas le root en soit, ils proposent aux applications de ne pas s'exécuter si le terminal a été rooté. Les raisons sont la sécurité ou l'utilisation commerciale de certaines applications. Libre à toi de rooter ton téléphone et de te passer de ces applications mais parler d'une privation de liberté est fallacieux.

Alors pardon, j'ai une (toute petite) expérience dans le domaine, et sauf ton respect, tu mélanges absolument tout. Une faille d'escalade de privilège peut exister sur un terminal rooté comme sur un terminal non rooté. La raison, c'est que l'utilisateur root existe profondément dans Linux (et il y a d'ailleurs un équivalent dans tous les systèmes d'exploitation dignes de ce nom, c'est-à-dire qui intègrent une gestion des privilèges, sécurité de base). La meilleure preuve, c'est qu'une des dernières faille d'escalade de privilège connue sur Android concernait justement seulement les terminaux non-rootés et PAS les terminaux rootés sur lesquels la faille était inexploitable. Donc comme toute faille, une fois qu'elle est découverte, il faut la corriger, mais c'est totalement hors sujet. Si une faille d'escalade de privilège existe et que tu as fait tourner une application malveillante, tes données sont compromises, POINT. Terminal rooté ou non. Il y a d'ailleurs aussi d'autres failles qui peuvent être dangereuses pour tes données qui ne nécessitent pas d'accès root (sortie de la sandbox android, bypass des permissions de Marshmallow, par exemple). Tout logiciel peut comporter des bugs, c'est inhérent au développement logiciel. Encore une fois, il n'y a AUCUNE différence entre le fait de pouvoir obtenir des privilèges root sur une machine de bureau, un serveur ou un laptop et un smartphone sous Linux/Android. N'importe quel expert en sécurité informatique digne de ce nom te le dira. Pourtant, personne ne se lève contre le prétendu manque de sécurité des desktops (ou même de la centaine de serveurs que je fais tourner sur des Linux "rootés" dans ma boîte ?). Preuve en est faite, empêcher le root n'est pas une mesure de sécurité, mais une mesure de privation de libertés, quoi qu'en disent les discours marketing de Google et constructeurs Android.

[…] peine deux jours après les récentes modifications apportées à SafetyNet, Magisk se met à jour (en beta) afin de contourner le problème. Les utilisateurs peuvent donc à […]

Tu as dû me lire en diagonal parce que je parle pas de donner les droits root à une application. Un malware qui exploite une vulnérabilité permettant une élévation de privilèges va se donner les droits root tout seul comme un grand. C'est d'ailleurs toujours par là que commencent les malwares les plus vicelards une fois qu'ils ont réussi à s'exécuter sur un téléphone ou un PC. Note d'ailleurs qu'on a connu pas mal d'applis dans le passé qui pouvaient root directement le téléphone sans passer par le bootloader. Comment procédaient-elles à ton avis ? Après, si ton téléphone est rooté, ça ne veut pas dire que tu risques plus de te faire pirater qu'avec un autre terminal. En revanche, tu ne peux plus faire confiance dans les opérations cryptographiques que tu vas faire avec ton terminal car les clés secrètes ont potentiellement été exposées. Tu trouveras peut-être des consultants autoproclamés experts en sécurité pour te dire que ce n'est pas grave (il y a en un paquet qui ont toujours un avis sur tout) mais un véritable expert te diras que le terminal doit être considéré comme compromis. POINT comme tu dis.

> Maintenant si tu rootes ton téléphone, forcément tu donnes accès à cette partie profonde du système NON. Si tu donnes les droits root à une application malveillante tu lui donne accès à cette partie du système. POINT. Le problème c'est pas root, c'est de donner les droits root à des applications qui ne devraient pas. Google invente de la sécurité côté client. Google a beau être une boîte à plusieurs milliards, n'importe quel ingénieur en sécurité te dira que c'est du bullshit. Il n'y a aucune raison valable de ne pas pouvoir avoir les droits root sur son terminal, pas plus que de restreindre des fonctionnalités à des téléphones rootés. D'autant qu'il y aura toujours une parade parce que le malware SafetyNet tourne sur TON téléphone.

En mode "Core only", Magisk est permet toujours de passer SafetyNet. L'utilisation de modules n'est plus possible mais le root ne pose aucun problème.

Et donc ? Certains voient, à juste titre selon les situations, ce système clos comme un point positif. Le monde entier ne gravite pas autour de ta petite personne.

Le root n'est pas une application, mais un niveau d'accès. En gros, quand tu utilise ton smartphone, tu as des droits d'utilisateurs standard. Cela veut dire que par exemple tu n'as pas le droit de modifier un fichier système. Le root te permet de t'élever au niveau "Super Utilisateur" (ou admin si tu préfère) et de modifier ce que bon te semble. C'est intéressant car beaucoup d'applications utilise ces droits pour te permettre de mieux customiser ton téléphone, ou d'en changer l'usage. Le risque est aussi que en ouvrant ces droits, une application non voulu pourrait modifier des fichiers critiques, comme ceux qui gère la fonction android Pay :)

Exact, donc pourquoi l'utiliser dans Pokemon GO, un jeu ou c'est plus simple de tricher sans avoir son téléphone rooter ? Pourquoi pour Netflix ? De peur de pouvoir télécharger les contenus vidéo directement ? C'est pas comme si c'était difficile d'enregistrer son écran au pire. Même si je pense qu'il y a des méthodes encore plus simples. Et donc parce que je veux personnaliser mon téléphone, je n'ai donc pas le droit de jouer a Pokemon GO ou regarder Netflix ? Non, désolé pour moi ça n'a aucune logique. C'est juste une solution facile pour se protéger au détriment des utilisateurs, qui sont pas nombreux, donc c'est pas très important.

[…] peine deux jours après les récentes modifications apportées à SafetyNet, Magisk se met à jour (en beta) afin de contourner le problème. Les utilisateurs peuvent donc à […]

Il me semble que Google est clair là dessus, le root est toléré uniquement pour gagner des possibilités de personnalisation. Il n'a jamais été autorisé pour pirater des app payantes ou tricher dans un jeu multijoueur. Il ne faut pas se tromper de débat, tu veux rooter et tu es convaincu que c légitime, alors ne cherche pas à le cacher.

Le truc hyper relou c'est que j'ai LineageOS sur un phone et en non-rooté. Mais SafetyNet ne passe pas. Donc en gros je dois rooter mon phone pour installer Magisk pour faire croire a SafetyNet qu'il n'est pas rooté. C'est le monde a l'envers...

... le but n'est pas ici d’empêcher le root d'un appareil mais d’empêcher de cacher à une app X ou Y que l'appareil est rooté. Cela ne change donc rien au risque d'être infecté ou d'infecté les autres smartphone.

Lol Magisk et Google qui jouent à qui troll qui.

Ah zut, je croyais qu'on était déjà vendredi... :D

Non, cela ne m'affecte pas plus que cela car je connais assez peu de sectes où l'on entre et sort comme dans un moulin et qu'il existe la possibilité de la modifier à sa guise et de ne pas accepter telle ou telle règle, comme l'utilisation de certains outils ou services. J'ai plutôt le sentiment que tu es en plein délire et que tu as du oublier de prendre tes cachetons depuis quelques temps... ;-))

Certes oui, mais il n'existe pas de modèle idéal et parfait ! Faut juste accepter de vivre avec le moins pire, à moins de vouloir s'isoler dans une grotte et donc de se couper du monde extérieur... ;) Sinon, cela peut prendre du temps, mais on voit bien qu'un jour ou l'autre ces mêmes politiques finissent pas se faire prendre d'une façon ou d'une autre... ^^

Euh non pas vraiment, car un produit rooté et infecté par un malware peut très bien contaminer d'autres personnes et donc d'autres smartphones avec des conséquences incalculable...

Moi j'aimerais bien que tu m'explique le principe de root, parce que je ne maîtrise pas à vrai dire même si j'en entends parler depuis longtemps, et aussi pourquoi Google cherche à bloquer cette application, parce que je n'ai pas compris en fait. Hésites pas à utiliser des mots simples ou complexes.

Je trouve dommage que frandroid traite ce sujet comme si tout le monde était au courant, je ne me rappel pas avoir vu un article sur magisk lorsque celui ci c'est fait connaître. Je regrette un peu les débuts ou je lisais frandroid pour ses tuto sur le root, les rom custom, les recovery alternatif et toutes ces petites bidouilles... Si je ne trainais pas sur XDA de temps à autre, je n'aurais pas connu magisk. Mais rassurez vous, c'est simplement une remarque, c'est pas dutout péjoratif... PS: désolé pour les fautes, je fais à manger, je n'ai pas le temps de corriger ☺

Le problème c'est qu'on devrait pouvoir démarrer le téléphone en root, quit à ce que cela coup certains services et appli pour avoir un reel accès à qon bien. Et pouvoir redémarrer en user standard. On garderai le meilleur des deux monde. Même si un malware redemarrait le tel en root il n'aurait plus accès aux api de paiement.

C'est clair! Comme Pokemon GO et Netflix, on comprend tous pourquoi c'est bloqué aux utilisateurs rootés, évidemment. La blague.

Piratin ! J'espère que t'es pas fier de toi ! :-| :-D :-D :-D Oui je ne dis pas le contraire, c'est aussi vieux que les navigateur mais ce qui change vraiment c'est d'une part le côté massif comme tu le précises et d'autre part la sophistication. Par le passé, pour qu'une attaque comme ça fonctionne il fallait soit compromettre un site, soit avoir ton site à toi et appâter des gogos dessus avec du pr0n ou du warez. Dans tout les cas, l'audience étaient limitée. Maintenant, via les régie de pub comme je l'ai décrit dans un autre com, c'est une partouse géante et tu peux diffuser un malware sans avoir compromis quoi que ce soit au préalable. Et tout est automatisé, tu n'as même plus à prendre la main sur la machine infectée, ton bot s'occupe de tout. Et ça va être de pire en pire la sécurité sur Internet. Rien que Heartbleed, ça a été un joli coup de chaud pour tout le monde. :-|

En fait cette époque (2007) que tu décris n'a jamais existé, dans le sens ou j'ai internet depuis 1998 et déjà a l'époque on utilisé des failles zero day dans les navigateur (pour l'avoir fait entre 2000 et 2004) pour balancer du trojan indétectable et full option,, ce qui a un peut changer c'est le côté "massif" des attaques.

Tu es prétentieux de vouloir juger la technologie Android Pay et simplifier autant les raisonnements.

J'ai bien compris et c'est pour ça que je ne remets pas l'application en cause. C'est la faille qui est exploitée pour arriver à duper un autre processus qui est dangereuse. Comme je te le disais, le rôle d'un botnet c'est de s'installer sur un ordinateur et de se faire oublier. Quelle meilleure méthode que celle de cacher au système et aux autres processus qu'elle a les permissions pour passer root ? On va voir ce que Magisk va inventer pour contourner la restriction mais si la nouvelle méthode ne compromet pas trop la sécurité, il n'y a pas de raison que Google se casse trop la tête à continuer à bloquer l'application.

Entre temps, Apple ne propose pas d'os Open Source... leur OS n'est même pas foutu de proposer un gestionnaire de fichiers, des option de customisation plus avancés, un bon multitâche ni même un multi-fenêtrage... Même s'il propose de bonnes idées, cela n'a rien à voir avec Android... Par ailleurs les applications Google sont très utilisés par les possesseurs d'iphone... Donc cela revient au même, c'est Google qui est aux commandes ?

C'est pour cacher à une appli qu'on as un tel rooté, pas pour obtenir les droits root... Magisk arrive à faire croire à une app que le tel n'est pas rooté, pas à utiliser les droits root sans action de l'utilisateur.

La sécurité informatique aujourd'hui c'est de sécuriser à tous les niveaux. En 2000, si t'avais un firewall, c'était suffisant, les auditeurs étaient contents. Aujourd'hui, ça ne suffit plus du tout parce que les attaques évoluent. Des failles 0-day dans Firefox ou Chrome, tu peux être sûr que des pirates en ont déjà trouvées et qu'ils se les gardent sous le coude en attendant d'en trouver d'autres sur les couches du dessous. Et le problème pour la sécurité, ce n'est pas l'appli Magisk en soi. C'est la faille qu'elle utilise pour se planquer car si Magisk y arrive aujourd'hui, un malware peut aussi y arriver mais sans aucun consentement de l'utilisateur ce coup-ci. Un ransomware par exemple n'a aucune intérêt à être planqué. Un botnet par contre...

Mouais, c'est pas comme si ça existé avant... en tout cas j'ai jamais vu ça dans les McDo, Quick ou Burger King que je fréquentais. Mais c'est vrai que c'est le même concept, qu'on nous informes en inscrivant "Vous allez mourir si vous mangez trop de cette saloperie" c'est pas plus mal, mais je doit pouvoir en manger si j'en ai envie. Et puis l'illimitée interdit... à 2€ le demi-litre je crois que celui qui veut vraiment se boire 1,5l de coca le fera quand même, les autres continuerons de boire comme avant. En voiture pareil, autant augmenter les pénalités pour les gros excès en ville par exemple, plutôt que d'essayer de limiter la puissance des voitures comme certain le souhaite.

Le problème n'est pas plutôt dans le fait que ce genre de code puisse s’exécuter? Plutôt que dans le fait qu'il puisse obtenir les droit root dans un second temps? Surtout qu'il ne s'agit pas ici d'obtenir les droits root, mais de cacher à tel ou tel app les droit root, donc je vois pas bien le rapport? Une app veut se saisir des droits root pour se servir de l'app NetFlix?

On y arrive.. Les distributeurs de boisson illimitées interdites maintenant au KFC, Quick, Wok etc.. Au nom de l'obésité en France..

@fabcool:disqus, ce que tu dis est hors sujet. On n'a pas besoin qu'une solution de paiement soit démocratisée pour la sécuriser. C'est plutôt l'inverse qui est nécessaire (bien sur non suffisant). Il ne me semble pas non plus qu'en France, le root soit aussi représentatif.

Je crois que t'as raté une étape dans la sophistication des attaques informatiques. Avec une attaque bien faite, tu n'as plus besoin de duper l'utilisateur pour exécuter du code sur son terminal. Une faille dans le navigateur et c'est plié. Et il y en a toutes les semaines. Exemple : les attaquants s'enregistrent auprès des régies publicitaires, font des annonces normales pour augmenter leur ranking. Quand ils arrivent à être diffusés sur des sites "sérieux" et de grande audience, ils te sortent un exit scamming de derrière les fagots avec un malvertising qui va toucher un grand nombre d'utilisateurs. Donc si en plus tu leur facilites le boulot avec la possibilité de rooter et de planquer leur larcin et bah t'as tout gagné. Quel rapport avec l'assistanat ? Toi comme moi on pourrait se faire niquer par ce type d'attaque.

Et donc? C'est comme ça qu'on fait des société d’assisté... C'est comme d'interdire le gras chez McDo parce qu'il y a 3 obèses trop bête pour comprendre que manger tous les jours à McDo c'est mauvais pour la santé. Avec cette logique on bride les voitures à 130km/h, on interdit les couteaux trop coupant, etc... Que Google ne permette pas le rootage en 1 click depuis le play store c'est normal. Mais de dire que le root est facile et qu'il n'y a pas d'avertissement concernant les risques que cela implique c'est faux. Et franchement si il le font, c'est bien plus pour par que tu triches sur Candy Crush et que les studios de dev perdent de l'argent que pour autre chose! Les malwares devrait être traité à un autre niveau, de toutes façon ces protections seront inefficace contre un malware bien fait. Faire une app qui appel un numéro payant c'est pas très compliqué, et pas besoin de droit root pour ca, les utilisateurs acceptant de toutes façon tous les accès aux app...

Mais bien sûr que si qu'ils sont touchés, c'est ça que vous ne voulez pas comprendre. Je le répète, si vous pouvez facilement le faire, un malware le fera tout aussi simplement. Si c'est plus dur à faire (via le bootloader par exemple), vous pourrez toujours le faire mais ça sera plus compliqué pour un malware. Le grand public qui n'y panne rien et tombe facilement dans le panneau est donc mieux protégé.

Quand est ce que les gens commenceront à comprendre que c'est aussi de la responsabilité de Google de brider son OS. Je vais prendre un exemple simple. L'obligation d'éducation aux bons usages informatiques n'existe pas. Donc si nous, petit groupe (à l'échelle du monde) d'utilisateurs plutôt experts pouvons rooter nos terminaux en sachant éviter ou limiter les risques, ce n'est pas le cas de la majorité des gens. Il n'y a qu'à voir le nombre de forums où les participants n'ont même aucune idée de pourquoi on dit "root". Or, avec le nombre grandissant d'utilisateur d'Android, si Google ne verrouillait pas certaines fonctions, à la moindre anicroche du genre "Kevindu22 a rooté le téléphone de sa mère, ledit téléphone s'étant derrière mangé un malware qui a utilisé le téléphone pour faire des calculs pour ISIS" Google serait immédiatement mis en cause car n'ayant rien fait pour rendre difficile d'accès voir impossible l'accès SU sur son système. Faut arrêter de croire que la liberté doit être partout sans limite, si tel était le cas, nos sociétés entière disparaitrait

Il faut prendre le problème dans l'autre sens et se mettre à la place du commerçant : vas-je rater des clients si je ne propose pas ce moyen de paiement ? Plus on entendra parler d'affaires où les gens se sont fait chourer leurs numéros de carte (et on risque d'en entendre de plus en plus) et plus ces solutions vont se populariser. Surtout que le matériel ne change pas donc pas de surcoût. Un terminal électronique de paiement récent avec NFC a déjà tout ce qu'il faut. Le gros du travail se passe du côté de l'opérateur du réseau d'autorisation qui doit envoyer le token généré par le téléphone à Apple, Google, Samsung & Co pour qu'ils lui retournent le numéro de carte réel. Et tous les professionnels des paiements travaillent déjà à pied d’œuvre sur ces sujets.

Je suis assez d'accord avec ton analyse (au sujet d'Android Pay et du root) Chris, qui a au moins le mérite d'être mesurée et réaliste. Mais je pense que tu ne changeras pas Old Geek, qui restera enfermé chez lui, les murs recouvert d'aluminium pour éviter que les grands méchants capitalistes ne l'espionne.

C'est impressionnant le nombre d'ânerie que tu peux écrire à la minute. Mais reste persuadé de ta théorie du complot complètement manichéenne, et surtout, ne te raisonne pas et n'essaye pas de faire preuve de mesure, tu risquerais de te faire une crampe au cerveau.

Non tu n'as rien raté. Un mobile que tu rootes n'est pas moins sécurisé vu que SuperSU est justement là pour te prévenir qu'une appli tente d'être root. Le problème, c'est quand ce n'est pas toi qui root le mobile mais un malware. Tu penses bien que lui ne va surtout pas te demander ton avis quand il a besoin des droits root. ^^

Sauf qu'en France, la CB est tellement implantée, que l'Android Pay risque d'être assez minimal, déjà en France l'Apple Pay ne s'en sort pas, alors l'Android Pay... Même avec un système 100% sécurisé, le consommateur français ne migrera pas massivement vers cette techno de paiement...

Oui mais ta voitures est pas bridé à 130km/h. C'est la différence ici, si quelqu'un veut prendre des risques c'est sont problème. Le grand public n'est pas touché par les problème engendré par le root. Le seul danger quand quelqu'un utilise Netflix avec une app rooté, c'est que Netflix perde de l'argent...

Non au départ les Nexus était de bon smartphone pour dev/geek, et de mauvais smartphone grand public. Maintenant ce ne sont plus que des smartphones grand public moyen...

De base, un mobile correctement rooté n'est pas moins sécurisé, si ? Vu que toutes les requêtes nécessitant des droits root doivent recevoir l’approbation de l'utilisateur via SuperSU par ex... Ou je suis trop naïf ? Ou j'ai raté une étape ?

Oui mais tu dois saisir ton numéro de carte ou le mot de passe de ton compte Paypal qui peuvent être interceptés par un malware. Android Pay vise justement à offrir une sécurité beaucoup plus solide que ces méthodes là. Sauf que si le téléphone est rooté, un attaquant peut contourner ces sécurités et la solution perd tout son intérêt.

Parce que la solution ne peut garantir la sécurité de tes paiements que si l'on est sûr à 100% que ton terminal est totalement intègre. Android Pay ne fonctionne pas sur un mobile non rooté parce qu'il lui est impossible de savoir si la demande de paiement vient de toi ou d'un malware qui grâce au root aurait contourné le capteur d'empreintes pour générer un paiement frauduleux.

J'avais encore un G4 il y a 2 mois et c'est l'absence de mise à jour qui m'a incité à passer sur un S8+ donc oui, je comprends que tu sois énervé. Mais pour le coup, c'est LG qui ne fait pas son taff. Après si tu passes sur LineageOS, tu as tes maj de sécu mais t'es emmerdé par les applis. C'est lourdingue je suis d'accord mais ce n'est pas la faute de Google en soi.

Je suis tout a fait d'accord. Une armure trouée ne protège plus rien.

Parce que ça doit être une opération difficile. Si c'est trop facile de root, comme je l'ai dit plus haut, un malware pourra le faire. De plus, ce n'est pas foncièrement le root que Google a bloqué ici. C'est le fait qu'il soit masqué car si un malware arrive à se planquer, même un utilisateur avancé aura du mal à le détecter. Et c'est quand même très emmerdant. Il y a un truc que beaucoup ne semble pas réaliser, c'est qu'on est plus en 2007 au niveau des attaques informatiques. Une faille zero-day dans le navigateur couplée avec un malvertising et même un utilisateur averti peut se faire infecter sur un site totalement normal. C'est fini le temps où l'on pouvait être tranquille tant qu'on ouvrait pas de pièce-jointe louche.

Oui et non, car certains root leur phone pour pouvoir le maintenir à jour, sans quoi il serait à la merci de nombreuses failles. Moi même j'ai root le mien pour être à jour car j'en avais marre d'attendre Nougat et les MàJ de sécu (LG G4). Je vois que je ne peux pas utiliser Molotov, ça viendrait de là par hasard ? (quand je veux lancer la chaîne un message me dit qu'il y a une erreur pour la récupération des licences DRM)

C'est un autre débat... Perso malgré les qualités que tu cites sur iOS? je préfère Android, même sans root, pour toutes les possibilités qu'il offre nativement.

Quand tu voies les questions bêtes sur les forums de gens qui rootent, on peut se poser la question... C'est moins le cas de nos jours, mais avant les gens rootaient juste parce qu'ils avaient entendu le mot.

Ou pas. Beaucoup des gens se prennent pour des hacker parce qu'ils savent suivre un tuto pour rooter un téléphone, alors qu'ils n'y connaissent finalement pas grand chose.

Tu peux payer en ligne avec un téléphone rooté aussi

Google n'oblige pas à utiliser Android Pay et il existe bien des alternatives, donc on a encore le choix ça va.

C'est soit tu utilises Android Pay et tu acceptes les restrictions, soit tu n'utilises pas Android Pay et tu restes "libre". Le choix est fait de mon côté ;-)

"Laisser les gens faire ce qu'ils veulent tant qu'ils ne sont pas pris ???" C'est ce que font les politiques en tout cas :-D

la nuance c'est que rooter son téléphone n'a rien de frauduleux. rien ni personne l'interdit.

Anarchiiiiiiiiiiiiiiiiiiiiiiiie !

Ça s'appelle le commerce. Crois moi qu'il n'y aurait pas grand monde qui travaillerait s'il n'y avait pas de salaire au bout.

Google = dictature ? On te met donc un flingue sur la tempe quand tu t'apprêtes à faire une recherche sur Duck Duck Go ou Bing ? Tu as la visite de la police politique quand tu envoies un mail à un musulman ? Sérieux, c'est pas très respectueux des gens qui sont morts sous une dictature que de dire ça.

On est d'accord :)

Parce que le service qu'il propose convient à certains. Après, il y a toujours ceux qui achètent sans savoir...

N'en soit pas convaincu, apple est un système clos, le revendique et pourtant il a ses fanatiques. Y'en a même qui ont mis Steve Jobs sur une stèle. Ca ne m'étonnerait même pas qu'il y en ait qui prie leur dieu apple (tout comme google) dans l'espoir d'obtenir ce dont ils rêvent.

La dictature c'est google, pour ça que je commence à le démonter dès qu'une occasion se présente. Mais apparement ça énerve les fanatiques de sa secte dès qu'on y touche.

L'avantage, c'est que souvent ça concilie les deux ! Sinon l'utilisateur n'achèterait pas si souvent.

Non, forcément positif à son portefeuille et l'utilisateur passera toujours après.

Donc, la dictature du peuple, comme sous Mao et sous Staline ??? ^^

Vous dérivez du sujet les gars... ^^

C'est totalement vrai mais est-ce franchement pertinent de faire un tel parallèle avec Google qui supprime la possibilité de masque le root ? :-| Le problème de toute théorie du complot réside dans le biais d’intentionnalité. Parce que des complots existent vraiment, le "complotiste" veut voir une causalité malveillante dans chaque conséquence. Or on est typiquement dans ce cas. "Google bloque les masqueurs de root parce que c'est un obstacle à son objectif de domination du Monde." Alors qu'en fait, c'est juste qu'ils ont pas envie de se prendre une classe action à plusieurs milliards de dollars pour négligence si des milliers d'utilisateurs se font partouzer au premier malware un peu balèze.

Et donc tu préconises quoi ??? L'anarchie ou la dictature ??? ^^ Pour ce qui est du peuple souverain, on a déjà vu ce que cela a donné que ce soit en URSS ou en Chine du temps de Mao...

Et c'est toi qui parle du vide d'arguments :) t'as bien raison, les instincts primitif son les plus jouissif :p

Ah oui donc de ton point de vue, si une entreprise a un intérêt à proposer un service, ce service est <b>forcément</b> négatif pour l'utilisateur…

Même pas ;)

Oui il a dû s'échapper d'Agoravox ! ^^

<blockquote>Pas compliqué de capturer des paquets pour les réassembler.</blockquote> C'est bien plus compliqué que ça, si la vidéo est un minimum chiffrée… (spoiler, c'est le cas)

On ne vit pas dans une démocratie, ce n'est qu'un embryon et pour qu'une démocratie fonctionne il faut que les tous les citoyens soient honnête et intelligent... je te l'accorde c'est pas gagné. Si on était en démocratie les présidents ne piétineraient pas les référendum, la peine de mort serait toujours en place (pose la question dans ton entourage de savoir si ils sont pour ou contre, c'est quasiment toujours la même réponse, "non mais... dans ce cas ci" ou "oui". Je ne dis pas que je suis pour mais dans une démocratie c'est le peuple qui est souverain et à part dans de petit regroupement indépendant ça n'existe pas. Tout comme la liberté que revendique les USA n'est qu'une illusion, ce sont d'ailleurs bien souvent les entreprises américaine qui ont le plus souvent les règlement les plus liberticide qu'ils appliquent aux logiciels.

C'est un anarchiste convaincu... ;)

Depuis quand tu effectues tes paiements en ligne avec des droits root ou admin ??? ^^

Cela n'a strictement rien à voir puisqu'il s'agit de ne pas perdre la confiance des autres entreprises et pour des raisons de sécurité. Ça ne concerne qu'un nombre limité d'applications ou de fonctionnalités, et il suffit de ne pas les utiliser, ce qui leur fera les pieds !

Des gars comme toi, j'en connais un paquet. Vous hurlez à l'incompétence quand une grosse boite comme Yahoo ou Sony se fait pirater mais quand les grandes entreprises du net essayent d'augmenter leur niveau de sécurité et donc VOTRE niveau de sécurité, vous hurlez au grand capital satanique tout juste bon à se faire de l'argent sur votre dos (sans que vous ne déboursiez un centime d'ailleurs). Bref, c'est que de la rhétorique vide d'argument.

Et notre Démocratie est donc un régime totalitaire ??? ^^ Quand tu est en infraction en roulant trop vite, tu n'es pas puni pour avoir commis un accident, mais simplement parce que tu POURRAIS en commettre un, mais on peut reproduire les exemples à l'infini !!! Ça ne me plait pas plus qu'à toi, mais c'est quoi la solution ??? Laisser les gens faire ce qu'ils veulent tant qu'ils ne sont pas pris ??? ^^

Ton "bisounours" veut déjà tout dire...

Il n'y en a pas. Tu n'as pas d'autre solution que de brider un minimum pour être sûr que le terminal que ce soit un PC ou un téléphone ne soit pas compromis. Sur PC, on utilise des équipements externes comme des tokens USB où l'on a plus de certitudes sur leur intégrité. Sur smartphone, les constructeurs intègrent soit du hardware embarqué (Secure Element chez Apple), soit du software dans une partie retranchée du système. Maintenant si tu rootes ton téléphone, forcément tu donnes accès à cette partie profonde du système et son intégrité ne peut plus être garantie. Jette un œil à la description des outils de la NSA leakés par Shadowbroker et tu comprendras que l'ère bisounours d'Internet est définitivement terminée.

Et avec un téléphone non rooté tu peux en faire de même. Pas compliqué de capturer des paquets pour les réassembler. Après le process est plus long mais ça n'empêchera pas de tout retrouver en streaming.

je te retourne la question ? quel sont les moyens de sécurisation existant sur PC pour des transactions plus fiable sans avoir à le brider ? Si tu me parle navigateur ou téléphone retourne potasser ;)

Non, tu n'as pas compris. Ces softs ne vont pas tourner s'ils détectent que le téléphone a été rooté. Pour Android Pay c'est une question de sécurité parce que c'est un signe que le terminal a pu être compromis et que les opérations de paiement peuvent être frauduleuses. Pour Netflix c'est commercial. Avec un téléphone rooté, tu peux récupérer le contenu hors-ligne et le copier où tu veux. Edit : je précise. Avec magisk, tu planques le fait que le téléphone est rooté et tu peux quand même lancer ces applis.

T'y connais kedal en fait non ? :-|

Si, on peut reprocher à google de fabriquer une prison au nom de la sécurité, c'est d'ailleurs ce que font les régimes totalitaire pour se justifier... la sécurité, la peur.

Tu serais en train d'affirmer que si tu as un ordinateur classique, avec tout les droits dessus (administrateur), tes règlements sur le net ne sont pas sécurisé ? seul le grand google est capable de le faire au prix du sacrifice de toute liberté ? Y'a pas, la com de google fonctionne vraiment bien.

C'est quoi cette histoire avec netflix et android pay? Je doute qu'il faille forcément un logiciel comme ce magisk pour les faire tourner non? Moi j'ai netflix sur mon téléphone qui fonctionne parfaitement bien en natif...

Si c'est pas de la belle désinformation ça. C'est ce que google tente de faire gober, c'est pour ton bien alors qu'au final c'est pour son unique profit. Google veut aussi mon numéro de téléphone et que je sois géo-localisable pour ma sécurité et celle de mon phone au cas ou un méchant voleur me le déroberait, alors qu'en fait c'est pour mieux cibler sa pub et faire plus de brouzouf. Mébon, microsoft a bien fait campagne pour faire rentrer dans les têtes que Linux était un système utilisé par des terroriste alors il vaut mieux utiliser windows. Ou il y a encore quelques années, dès qu'un criminel était arrêté le premier argument était de dire "il ne possédait pas de compte Facebook" (bon, là ça a vite stopé parce que c'était trop gros).

Parce que google veut contrôler ses moutons du mieux possible, c'est mieux pour le commerce et permet de faire plus d'argent.

Le fascisme vaincra o/ Google is Evil...

Même réponse que celle que j'ai faite plus bas. Internet a changé depuis les premiers Nexus les gars. C'est ça le vrai problème. On ne peut pas reprocher à Google de sécuriser un minimum les terminaux.

Ça n'est pas une guerre contre la customisation. Ce qui inquiète Google c'est la recrudescence et l’agressivité des malwares. Si tu peux rooter ton téléphone et cacher ce root facilement, un malware pourra le faire aussi. Quand on voit le nombre de vulnérabilités qui sont périodiquement découvertes sur Android, Google ne peut pas se permettre de laisser filer. Ça t'emmerde toi utilisateur avancé parce que ça limite tes possibilités mais dis toi que tu représentes une goutte d'eau dans l'océan de tous les utilisateurs qui vont bêtement ouvrir des emails infectés ou installer des applications louches. Imagine toi le scandale si un malware arrive à s'installer en visitant simplement un page web, root le téléphone, se planque et pirate le compte androidpay de milliers d'utilisateurs.

Donc sur un Google Pixel il n'est pas possible d'utiliser Magisk? Vraiment de mieux en mieux ces Pixel... vraiment très loin de l’esprit des Nexus

Des usages comme Android Pay requière un mobile non rooté. Ça me parait évident.

Pourquoi ils s'acharnent tous contre les différentes possibilités de personnalisation et de customisation ? Google commence à ressembler à Apple ???