Googles Android Apps Get Public Verification to Stop Supply Chain Attacks
Mis à jour :
Renforcement de l’intégrité logicielle : La transparence binaire pour Android
Google étend son infrastructure de « Transparence Binaire » à l’écosystème Android pour contrer les attaques par chaîne d’approvisionnement. Ce mécanisme repose sur un registre public cryptographique qui agit comme une « source de vérité », permettant de vérifier que les applications et les modules système installés sont officiels et n’ont pas été altérés.
Points clés :
- Limites de la signature numérique : La simple signature d’un binaire prouve l’origine, mais ne garantit pas que le logiciel est bien celui que l’auteur souhaitait distribuer.
- « Certificat d’intention » : La transparence binaire permet de distinguer une version de production autorisée d’une version malveillante, même si cette dernière est signée avec un certificat légitime compromis.
- Périmètre : Sont concernées les applications Google, les services Google Play et les modules Mainline diffusés après le 1er mai 2026.
- Détection : Toute version « sur mesure » ou modifiée par un attaquant sera absente du registre public, rendant la compromission immédiatement détectable.
Vulnérabilités ciblées :
- Attaques par empoisonnement de la chaîne d’approvisionnement : Injections de code malveillant dans des mises à jour logicielles légitimes (ex: compromission des installeurs DAEMON Tools). Ces attaques contournent traditionnellement les signatures numériques en utilisant des certificats volés.
Recommandations :
- Utilisation des outils de vérification : Google met à disposition des outils de vérification open-source (disponibles sur GitHub) permettant aux chercheurs et utilisateurs avancés de valider l’intégrité des logiciels présents sur leurs appareils.
- Vigilance sur les mises à jour : Pour les développeurs et administrateurs, cette transparence devient un standard pour auditer les logiciels distribués et s’assurer de l’absence de modifications non autorisées dans le cycle de déploiement.