Alors que Lollipop va doucement mais sûrement sur ses quatre mois d’existence, le site américain Ars Technica s’est rendu compte que la majorité des téléphones installés sous Android Lollipop n’avaient pas le chiffrement des données activé par défaut. En fait, Google a discrètement renoncé à obliger les constructeurs à l’intégrer.

chiffrement Lollipop

Lorsque Google a annoncé Android Lollipop au milieu de l’année dernière, l’une des caractéristiques du nouvel OS mise en avant était la sécurité des données contenues sur le téléphone. Une caractéristique ensuite largement décrite dans un billet de blog, expliquant que Lollipop était “entouré d’une coque en Kevlar”, un moyen d’affirmer que les données des utilisateurs seraient toujours en sécurité grâce, notamment au chiffrement des données qui est activé par défaut sur Lollipop. Pourtant, et comme le remarque très justement Ars Technica, à ce jour seuls deux appareils sous Lollipop ont activé le chiffrement des données par défaut : le Nexus 6 et la Nexus 9. Ars Technica a en effet été surpris de constater que tous les autres appareils, qu’ils soient récemment passés à Lollipop via une mise à jour, comme le Moto G 2014, ou qui sont nativement installés sous Lollipop, comme le Moto E, n’ont pas l’option activée par défaut. Plus surprenant encore, en vérifiant les paramètres des nouveaux appareils présentés au MWC 2015, comme le Galaxy S6, Ars Technica a également remarqué que l’option restait décochée. De fait, le chiffrement des données par défaut n’est jamais activé par les constructeurs, à l’exception de Google.

La raison, le site américain l’a trouvé rapidement. Elle se trouve dans le document Android Compatibility Definition (en anglais) à destination des constructeurs de smartphones qui désireraient installer Lollipop sur leurs appareils. Ce document liste les choses à intégrer obligatoirement au téléphone si le constructeur désire avoir une certification de Google. Au paragraphe 9.9, Google indique désormais : “Pour les appareils qui supportent le chiffrement complet des données, le chiffrement complet des données DEVRAIT être activé tout le temps une fois que l’utilisateur a configuré son appareil. Cette obligation est pour l’instant au conditionnel pour Lollipop, mais il est fortement RECOMMANDÉ de l’activer puisque nous prévoyons de l’OBLIGER dans une future version d’Android”. En d’autres termes, les constructeurs n’ont pas besoin du chiffrement des données pour faire passer leurs appareils sous Lollipop.

Pourquoi Google a-t-il pris cette décision ? Il y a aujourd’hui deux explications, une optimiste et une pessimiste. L’optimiste pense que cela est dû aux chutes des performances engendrées le chiffrement des données. Il s’avère en effet que les performances brutes du Nexus 6 ou du Nexus 5 chuteraient de 25 à 30 % une fois le chiffrement activé sans que l’on sache réellement s’ils profitent d’une quelconque accélération matérielle. Le fait de ne pas obliger les constructeurs à chiffrer par défaut les données du téléphone est une manière de gagner du temps et de trouver des solutions techniques mais aussi et surtout de les inciter à sortir une mise à jour vers Lollipop sans rechigner.

La seconde explication, plus pessimiste, pense que l’abandon du chiffrement des données est le résultat de la pression exercée par les gouvernements américains et occidentaux sur les constructeurs de smartphones et sur les concepteurs d’OS mobiles. Alors que les risques d’attaques terroristes sont de plus en plus présents, les gouvernements ne voient pas d’un bon oeil que les smartphones puissent être de moins en moins accessibles à leurs organisations de renseignement. Le plus probable est encore qu’il y ait une part des deux explications dans la décision de Google.