Si vous suivez un peu l’actualité des systèmes Android alternatifs, vous savez que le plus gros point de friction reste l’accès aux services bancaires.
Google utilise une API nommée Play Integrity pour vérifier que votre smartphone n’est pas « compromis » (comprenez : qu’il n’est pas rooté ou sous une ROM custom). Sans les services Google officiels, point de salut pour payer avec votre téléphone ou consulter votre solde.
Pour sortir de cette impasse, un trio d’entreprises européennes composé de Volla, Murena (l’éditeur de /e/OS) et Iodé a décidé de prendre les devants. Leur idée ? L’Unified Attestation. Ce projet vise à créer une alternative open source à l’outil de Google pour permettre aux banques de valider l’intégrité d’un appareil même s’il tourne sous une version d’Android totalement dégooglisée.
Mais, cette initiative a déclenché une réaction nucléaire de la part des développeurs de GrapheneOS. Ce projet, connu pour son exigence quasi paranoïaque en matière de sécurité, ne mâche pas ses mots : il s’agit selon eux d’une tentative de masquer une sécurité « déplorable ».
Unified Attestation : le projet de la discorde
Regardons de plus près ce que propose ce fameux standard. L’Unified Attestation repose sur une plateforme qui gère la vérification des chaînes de signatures via des tokens à durée de vie très courte (60 secondes). Le système utilise KeyMint, un composant sécurisé d’Android, pour garantir que les données ne sont pas interceptées. Le tout est distribué sous licence Apache 2.0, ce qui permet à n’importe quel constructeur de l’intégrer sans verser un centime à Google.
L’objectif est de rassurer les banques et les gouvernements. En proposant un SDK simple aux développeurs d’applications, Volla et ses partenaires espèrent que les institutions accepteront enfin leurs appareils comme étant « sûrs ». Ils mettent en avant une vérification hors ligne possible par les serveurs des applications, ce qui est censé offrir une alternative souveraine à l’infrastructure tentaculaire de Google.
Pourtant, cette approche pose une question fondamentale. Qui décide qu’un appareil est sûr ? Pour Volla, Murena et Iodé, la réponse est dans la transparence du code et la certification européenne. Mais pour les puristes, le problème ne se situe pas dans l’API de vérification, mais dans la manière dont le système d’exploitation est construit à la base.
Pour aller plus loin
Motorola annonce un partenariat avec GrapheneOS pour des futurs smartphones ultra-sécurisés
GrapheneOS a l’habitude des mots durs
La réponse de GrapheneOS est d’une violence rare dans le milieu de l’open source. Les développeurs affirment que Volla, Murena et Iodé induisent les utilisateurs en erreur. Le reproche principal ? Ces ROMs afficheraient des niveaux de correctifs de sécurité Android trompeurs. En clair, le système vous dit qu’il est à jour alors que des correctifs essentiels manquent cruellement à l’appel.
Le réquisitoire ne s’arrête pas là. GrapheneOS souligne que ces smartphones sont souvent vendus avec un bootloader déverrouillé ou des configurations qui cassent le modèle de sécurité de base d’Android.
Pour eux, l’Unified Attestation n’est qu’un écran de fumée destiné à forcer le passage auprès des banques alors que les fondations techniques sont fragiles. Ils refusent que ces entreprises aient un quelconque droit de regard sur les standards de sécurité européens.
La solution proposée par GrapheneOS est radicale : au lieu de créer des API alternatives, les gouvernements devraient définir des normes de sécurité strictes, gratuites et applicables à tous.
Si un projet de ROM, même petit, respecte ces critères, il devrait être validé. Si un smartphone « grand public » ne reçoit plus ses mises à jour, il devrait être banni des applications bancaires. C’est une vision dure de la sécurité qui s’oppose frontalement au lobbying industriel.
Vous l’aurez compris en lisant ces quelques mots, c’est une fracture idéologique profonde. D’un côté, nous avons des acteurs qui privilégient l’expérience utilisateur et cherchent des compromis pour rendre Android dégooglisé viable au quotidien. De l’autre, GrapheneOS incarne un extrême sécuritaire où aucune concession n’est acceptable, quitte à se mettre à dos toute l’industrie française et européenne.
Pour aller plus loin
« Nous ne nous sentons plus en sécurité en France » : pourquoi GrapheneOS retire ses serveurs de France suite à un article du Parisien
Retrouvez tous les articles de Frandroid directement sur Google. Abonnez-vous à notre profil Google pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.